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实践 教学 是 巩固 基本 理论 和 基础 知识 、 提 高 学 生 分 析 问题 和 解决 问题 能 力 的 有 效 途径 ,是 应 用 型 本 
科 院 校 培养 具有 创新 意识 的 高 素质 应 用 型 人 才 的 重要 环节 。 

本 实验 课程 属于 专业 教育 课程 ,授课 对 象 为 掌握 一 定 网 络 安全 技术 原理 、 密 码 技术 和 计算 机 网 络 技 
术 等 的 学 生 。 本 实验 课程 的 开设 对 于 锻炼 学 生 的 网 络 安全 综合 保障 技能 ,提高 分 析 解 决 实际 问题 的 能 
力 ,在 掌握 基本 技能 的 基础 上 提高 应 用 创新 等 方面 的 能 力 有 重要 影响 。 

网 络 安全 包括 操作 系统 安全 、 数 据 库 安全 、 网 络 安全 、 病 毒 防护 ,访问 控制 .加密 与 鉴别 7 个 方面 。 
本 书 按照 该 原则 组 织 实验 项 目 。 

本 实验 课程 中 所 有 的 实验 项 目 都 在 实验 室 展开 ,不 在 互联 网 中 进行 ,遵守 国家 法 律 ,不 会 危及 互联 
网 的 安全 。 
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本 实验 课程 属于 专业 教育 课程 ,授课 对 象 为 掌握 一 定 网 络 安全 技术 原理 、 密 码 技术 和 
计算 机 网 络 技术 等 的 学 生 。 本 实验 课程 的 开设 对 于 锻炼 学 生 的 信息 安全 综合 保障 技能 ， 
提高 分 析 解 决 实际 问题 的 能 力 ,在 掌握 基本 技能 的 基础 上 提高 应 用 创新 等 方面 的 能 力 , 有 
重要 影响 。 

在 完成 该 实验 课程 的 学 习 后 ,应 能 够 达到 了 解 信息 安全 的 体系 结构 和 基本 内 容 , 了 解 
信息 安全 的 实体 安全 和 运行 安全 ,掌握 和 运用 基本 的 信息 安全 技术 ,能 够 综合 分 析 信 息 安 
全 事件 ,解决 信息 安全 问题 ,做 好 信息 安全 保障 等 要 求 。 


信息 安全 的 研究 范畴 目前 还 没有 一 个 统一 的 定义 。 按 照 * 计 算 机 信息 系统 安全 专用 
产品 分 类 原则 (GA 163 一 1997)”, 信 息 安 全 产品 分 为 实体 安全 、 运 行 安全 和 信息 安全 3 个 


方面 。 其 中 ,实体 安全 包括 环境 安全 设备 安全 和 媒体 安全 3 个 方面 ;运行 安全 包括 风险 
分 析 、 审 计 跟踪 、 备 份 与 恢复 ,应 急 4 个 方面 ;信息 安全 包括 操作 系统 安全 ,数据库 安全 、 网 
络 安全 ,病毒 防护 ,访问 控制 .加密 与 鉴别 7 个 方面 。 本 书 就 是 按照 这 个 原则 组 织 实验 项 
目的 。 

本 实验 课程 的 前 期 课程 包括 计算 机 网 络 、 网 络 安全 技术 、 反 病毒 技术 、 网 络 攻 防 对 抗 
实验 ,军事 理论 与 信息 对 抗 等 。 

本 书 由 蒲 晓 川 确定 研究 内 容 和 整体 结构 ,其 中 ,3. 1 节 、3.9 节 由 成 爱民 编写 ,其 他 章 
节 由 薄 晓 川 编写 。 

由 于 时 间 紧 \ 任 务 重 ,本 书 难免 存在 一 些 问 题 , 望 广大 师 生 给 予 批评 指正 。 
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1.1 课程 简介 


21 世纪 是 一 个 以 网 络 为 核心 的 信息 时 代 。 世 界 经 济 正在 从 工业 经 济 向 知识 经 济 转 
变 , 知 识 经 济 的 两 个 重要 特征 就 是 信息 化 和 全 球 化 。 信 息 化 已 经 成 为 当今 世界 经 济 和 社 
会 发 展 的 趋势 ,这 种 趋势 主要 表现 在 : 四 信息 技术 突飞猛进 ,成 为 新 技术 革命 的 领头 羊 ; 
名 信息 产业 高 速 发 展 ,成 为 经 济 发 展 的 强大 推动 力 ; 加 信息 网 络 迅速 崛起 ,成 为 社会 和 经 
济 活 动 的 重要 依托 。 信 息 比 例 的 加 大 使 得 社会 对 信息 的 真实 程度 .保密 程度 的 要 求 不 断 
提高 ,而 网 络 化 又 使 因 虚 假 、 汇 密 引 起 的 信息 危害 程度 旦 指数 增 大 。 针 对 信息 的 有 意 刺 
探 ,攻击 行为 更 是 国家 、 单 位 重点 防护 的 事件 。 

全 球 信息 安全 的 形势 严峻 。 针 对 信息 的 保护 与 反 保护 等 行为 一 直 伴 随 着 信息 的 整个 发 
展 历程 。 进 入 21 世纪 后 ,信息 安全 面临 着 更 严峻 的 考验 。 国 内 外 的 网 络 信息 安全 事件 主要 
表现 在 系统 的 安全 漏洞 不 断 增加 、 黑 客 攻击 搅 得 全 球 不 安 、 计 算 机 病毒 肆虐 、 网 站 仿冒 、 木 马 
和 后 门 程序 泄露 秘密 、 信 息 战 阴影 威胁 数字 化 和 平和 白领 犯罪 造成 巨大 商业 损失 等 。 

在 完成 本 实验 课程 的 学 习 后 ,能 够 达到 了 解 信 息 安 全 的 体系 结构 和 基本 内 容 , 了 解 信 
息 安全 的 实体 安全 和 运行 安全 ,掌握 和 运用 基本 的 信息 安全 技术 ,能够 综合 分 析 信息 安全 
事件 ,解决 信息 安全 问题 ,做 好 信息 安全 保障 等 要 求 。 

本 实验 课程 中 的 所 有 实验 项 目 都 在 实验 室 展开 ,不 会 危及 互联 网 的 安全 。 

目前 ,还 没有 现成 的 网 络 安全 对 抗 实验 教材 供 我 们 参考 ,编者 经 过 认真 研究 和 调查 分 
析 ,结合 我 校 学 生 的 具体 情况 ,特制 定 该 课程 的 实验 体系 ,如 表 1-1-1 所 示 。 信 息 安 全 的 
研究 范畴 目前 还 没有 一 个 统一 的 定义 。 按 照 * 计 算 机 信息 系统 安全 专用 产品 分 类 原则 
(GA 163 一 1997)”, 信 息 安全 产品 分 为 实体 安全 运行 安全 和 信息 安全 3 个 方面 。 其 中 ， 
实体 安全 包括 环境 安全 、 设 备 安 全 和 媒体 安全 3 个 方面 ;运行 安全 包括 风险 分 析 、 审 计 跟 
踪 、 备 份 与 恢复 、 应 急 4 个 方面 ;信息 安全 包括 操作 系统 安全 数据库 安 全 、 网 络 安 全 、 病 毒 
防护 ,访问 控制 ,加 密 与 鉴别 7 个 方面 。 本 “信息 安全 综合 实验 ”课程 就 是 按照 这 个 原则 组 
织 实 验 项 目的 。 


表 1-1-1 《信息 安全 综合 实验 ) 实 验 体 系 


序号 实验 题目 实验 类 型 实验 学 时 选择 要 求 
1 剩 磁 效 应 与 数据 恢复 验证 型 2 必 选 
2 操作 系统 安全 评估 与 检测 综合 型 4 必 选 
3 数据 加 密 与 鉴别 综合 型 8 必 选 
4 数据 库 安全 综合 型 4 课外 自选 
5 网 络 安全 通信 综合 型 4 必 选 
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BER 
序号 实验 题目 实验 类 型 实验 学 时 选择 要 求 
6 数字 证 书 服务 及 加 密 认 证 综合 型 8 必 选 
7 访问 控制 和 网 络 防火 墙 综合 型 8 必 选 
8 人 侵 检测 综合 型 4 必 选 
9 Internet 服务 器 安全 综合 型 4 必 选 
10 网 络 安全 程序 设计 设计 型 8 课外 自选 
1 应 用 程序 保护 设计 型 4 课外 自选 
12 网 络 监控 与 协议 分 析 综合 型 4 必 选 
13 风险 分 析 设计 型 2 课外 自选 
14 安全 审计 与 追踪 综合 型 4 课外 自选 
15 应 急 响应 与 灾难 恢复 设计 型 4 课外 自选 
1.2 实验 类 型 
实验 的 分 类 方法 很 多 , 按 性 质 可 分 为 验证 型 实验 ,设计 型 实验 和 综合 型 实验 3 种 
类 型 。 
1. 验证 型 实验 


验证 型 实验 作为 一 种 重要 的 实验 形式 ,无 论 在 科学 研究 中 还 是 科学 教育 中 ,都 是 不 可 
或 缺 的 ,其 作用 也 是 任何 其 他 类 型 的 实验 所 无 法 替代 的 。 验 证 型 实验 主要 培养 学 生 对 设 
备 、 开 发 工具 的 操作 能 力 ,加 深 对 理论 的 理解 。 实 际 上 ,与 课程 相关 的 大 部 分 实验 都 是 验 
证 型 实验 。 实 验 设计 者 给 出 较为 详细 的 实验 步骤 , 旨 在 减少 实验 者 摸索 的 过 程 ,争取 在 较 
短 的 时 间 内 掌握 基本 的 操作 技术 。 

验证 型 实验 的 方法 : 

(1) 明确 实验 题目 、 实 验 目的 和 实验 要 求 ; 

(2) 熟悉 实验 背景 知识 ; 

(3) 按照 实验 内 容 进 行 实验 ; 

(4) 分 析 实 验 结果 ,完成 实验 报告 。 


2. 设计 型 实验 


设计 型 实验 培养 学 生 的 设计 能 力 和 独立 工作 的 能 力 。 这 类 实验 是 课程 中 较 大 的 实 
验 。 也 就 是 在 基本 训练 的 基础 上 ,提出 一 些 有 利于 启发 思维 、 有 应 用 价值 的 实验 课题 ,让 
学 生 进 行 设计 型 实验 。 题 目 描述 以 提出 任务 要求 和 曾 述 应 用 背景 为 宜 , 而 如 何 解决 问 
题 ,解决 问题 的 原理 、 方 法 和 所 用 仪器 等 由 同学 们 自行 提出 并 实践 ,目的 是 使 学 生 运 用 所 
学 的 理论 知识 和 实验 技能 ,在 实验 方法 的 考虑 、 使 用 工具 的 选择 测试 方法 的 确定 等 方面 
受到 比较 系统 的 训练 。 


2 


设计 型 实验 的 方法 : 

COD 了 解 题目 要 求 ,明确 任务 ; 

(2) 查阅 有 关 资 料 , 画 出 必要 的 原理 图 ,寻求 各 种 解决 问题 的 方法 。 从 原理 ,方法 和 
使 用 工具 等 多 方面 提出 完成 课题 任务 的 依据 及 实验 步 又; 

(3) 设计 并 实现 设计 内 容 ; 

(4) 测试 结果 评价 ,总结 分 析 并 完成 实验 报告 。 

3. 综合 型 实验 

综合 型 实验 是 指 实验 内 容 涉 及 本 课程 的 综合 知识 或 与 本 课程 相关 课程 的 知识 的 实 
验 ,其 主要 教学 目的 是 培养 学 生 综 合 运用 知识 分 析 、 解 决 实际 问题 的 能 力 以 及 创新 能 力 。 

综合 型 实验 的 方法 : 

CD 了 解 题目 要 求 ,明确 实验 任务 ， 

(2) 根据 已 经 掌握 内 容 , 查 阅 有 关 资 料 ,综合 利用 各 种 方法 .工具 策略 等 完成 实验 ; 

(3) 分 析 实 验 结果 ,总 结 并 完成 实验 报告 。 


B28 实验 要 求 


2.1 实验 过 程 要 求 


在 实验 过 程 中 ,实验 者 必须 服从 指导 教师 和 实验 室 工作 人 员 的 安排 ,遵守 纪律 与 实验 
制度 ,爱护 设备 及 卫生 。 在 指定 的 实验 时 间 内 ,必须 到 机 房 内 实验 ,其 余 时 间 可 自行 设计 
和 分 析 。 

由 于 实验 时 间 有 限 , 要 求 提 前 预习 实验 内 容 , 对 于 一 些 基本 概念 不 再 进行 详细 解释 说 
BA ,实验 课程 授课 的 理论 部 分 重点 放 在 实验 方法 分 析 方 面 。 

CD 验证 型 实验 : 实验 前 ,预习 实验 ,了 解 实验 背景 。 按 照 实验 指导 书 的 方法 步骤 进 
行 实验 ,将 实验 结果 与 理论 分 析 结 果 进 行 比 较 , 得 出 结论 , 按 要 求 写 出 实验 报告 。 注 意 掌 
握 基 本 的 实验 方法 。 

(2) 设计 型 实验 : 严格 要 求 自己 ,自信 但 不 固执 ,独立 完成 设计 任务 ,善于 接受 指导 
教师 的 指导 和 听取 同学 的 意见 ,有 意识 地 树立 严谨 的 科学 作风 ,要 独立 思考 ,刻苦 钻研 , 勇 
于 创新 ,按时 完成 设计 任务 。 

(3) 综合 型 实验 : 要 充分 发 挥 主动 性 和 创造 性 ,要 求 综合 运用 所 掌握 的 知识 ,完成 实 
验 任务 。 按 照 指导 书 要 求 的 实验 任务 ,完成 实验 方案 论证 与 设计 、 实 验 过 程 和 实验 报告 。 


2.2 考核 及 评分 标准 


本 课程 采用 结构 化 评分 ,其 中 ,验证 型 实验 占 40% ,综合 型 .设计 型 实验 45%% ,其 他 
15%( 主 要 由 指导 教师 根据 考勤 .课程 表现 等 把 握 )。 验 证 型 实验 ,设计 型 实验 和 综合 型 实 
验 主 要 考核 指标 如 下 。 

COD 验证 型 实验 : 实验 者 是 否 真 实 、 认 真 地 完成 了 本 次 实验 ;实验 代码 是 否 规范 、 可 
读 性 怎样 ,效率 怎样 ;实验 报告 格式 是 否 规 范 ,是 否 有 抄袭 行为 等 。 

(2) 设计 型 实验 : 设计 代码 是 否 调试 通过 ,运行 结果 是 否 正确 ,是 否 具备 良好 可 读 
性 ;设计 报告 是 否 层 次 清楚 ,整洁 规范 ,有 无 相互 抄袭 情况 。 答 辩 分 为 自述 和 教师 提问 两 
部 分 ,自述 时 间 不 得 超过 5 分 钟 ,内 容 包 括 演示 ,描述 本 课题 设计 思想 、 关 键 代码 分 析 等 。 

(3) 综合 型 实验 : 实验 者 对 所 学 知识 的 综合 运用 情况 ,综合 分 析 情 况 ;实验 报 告 是 否 
层次 清楚 ,整洁 规范 ,有 无 相互 抄袭 情况 。 答 辩 分 为 自述 和 教师 提问 两 部 分 .自述 时 间 不 
得 超过 5 分 钟 ,内 容 包 括 对 于 本 实验 目的 的 理解 .实施 方案 、 实 验 结果 情况 及 分 析 等 。 


3.1. 数据 恢复 
3.1.1 实验 类 型 

验证 型 ,2 学 时 , 必 选 实验 。 
3.1.2 实验 目的 


计算 机 磁盘 属于 磁 介 质 , 所 有 磁 介 质 都 存在 剩 磁 效 应 的 问题 ,保存 在 磁 介 质 中 的 信息 
会 使 磁 介 质 不 同 程度 地 永久 性 磁化 ,所 以 磁 介 质 上 记载 的 信息 在 一 定 程度 上 是 抹 除 不 净 
的 ,通过 一 定 的 技术 手段 可 以 将 已 抹 除 信息 的 磁盘 上 的 原 有 信息 提取 出 来 。 

另外 ,由 于 计算 机 文件 系统 的 实现 原理 ,文件 的 删除 并 没有 将 文件 的 数据 内 容 从 磁盘 
上 删除 ,通过 一 定 的 技术 手段 可 以 将 删除 的 文件 恢复 出 来 。 

通过 该 实验 ,使 学 生 认识 到 电磁 泄露 现象 引起 的 数据 恢复 、 硬 件 损坏 、 文 件 删除 等 实 
现 数据 恢复 的 内 容 。 


3.1.3 题目 描述 
使 用 数据 恢复 软件 EasyRecovery 进行 文件 恢复 。 
3.1.4 实验 要 求 
理解 磁盘 数据 恢复 的 原理 ,认识 数据 恢复 技术 对 信息 安全 的 影响 。 能 够 使 用 数据 恢 
复 软件 EasyRecovery 进行 文件 恢复 。 
提高 要 求 : 能 够 对 磁盘 数据 进行 彻底 清除 。 
3.1.5 相关 知识 


1. 剩 磁 效 应 


计算 机 主机 及 其 附属 电子 设备 ,如 视频 显示 终端 打印 机 等 ,在 工作 时 不 可 避免 地 会 
产生 电磁 波 辐 射 , 这 些 辐 射 中 携带 有 计算 机 正在 进行 处 理 的 数据 信息 。 尤 其 是 显示 器 ,由 
于 显示 的 信息 是 给 人 阅读 的 ,是 不 加 任何 保密 措施 的 ,所 以 其 产生 的 辐射 是 最 容易 造成 汇 
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密 的 。 使 用 专门 的 接收 设备 将 这 些 电磁 辐射 接收 下 来 ,经 过 处 理 ,就 可 恢复 还 原 出 原 
信息 。 

国外 对 计算 机 设备 的 辐射 问题 早已 有 研究 ,在 1967 年 的 计算 机 年 会 上 美国 科学 家 韦 
尔 博士 发 表 了 男 述 计算 机 系统 脆弱 性 的 论文 ,总 结 了 计算 机 4 个 方面 的 脆弱 性 , 即 处 理 器 
的 辐射 ,通信 线路 的 辐射 .转换 设备 的 辐射 和 输出 设备 的 辐射 。 这 是 最 早 发 表 的 研究 计算 
机 辐射 安全 的 论文 ,但 当时 没有 引起 人 们 的 注意 。1983 年 ,瑞典 的 一 位 科学 家 发 表 了 一 
本 名 叫 ( 泄 密 的 计算 机 ?的 小 册子 ,其 中 再 次 提 到 计算 机 的 辐射 泄露 问题 。1985 年 ,荷兰 
学 者 艾 克 在 第 三 届 计 算 机 通信 安全 防护 大 会 上 公开 发 表 了 他 的 有 关 计 算 机 视频 显示 单元 
电磁 辐射 的 研究 报告 ,同时 在 现场 做 了 用 一 台 黑 白 电 视 机 接收 计算 机 辐射 泄露 信号 的 演 
示 。 他 的 报告 在 国际 上 引起 强烈 反响 ,从 此 人 们 开始 认真 对 待 这 个 问题 。 据 有 关 报 道 , 国 
外 已 研制 出 能 在 一 千 米 之 外 接收 还 原 计算 机 电磁 辐射 信息 的 设备 ,这 种 信息 泄露 的 途径 
使 敌对 者 能 及 时 准确 、 广 泛 、 连 续 而 且 隐 项 地 获取 情报 。 计 算 机 电磁 辐射 泄密 问题 已 经 
引起 了 各 个 国家 的 高 度 重视 ,要 防止 机 密 信息 被 窃取 ,必须 采取 防护 和 抑制 电磁 辐射 泄密 
的 专门 技术 措施 ,这 方面 的 技术 措施 有 干扰 技术 、 屏 项 技术 和 Tempest 技术 。 

计算 机 磁盘 属于 磁 介质 ,所 有 磁 介质 都 存在 剩 磁 效 应 的 问题 ,保存 在 磁 介 质 中 的 信息 
会 使 磁 介 质 不 同 程度 地 永久 性 磁化 ,所 以 磁 介 质 上 记载 的 信息 在 一 定 程度 上 是 抹 除 不 净 
的 ,使 用 高 灵敏 度 的 磁头 和 放大 器 可 以 将 已 抹 除 信息 的 磁盘 上 的 原 有 信息 提取 出 来 。 据 
一 些 资料 的 介绍 ,即使 磁盘 已 改写 了 12 次 ,但 第 一 次 写 人 的 信息 仍 有 可 能 复原 出 来 。 这 
使 涉 密 和 重要 磁 介质 的 管理 以 及 废弃 磁 介 质 的 处 理 都 成 为 很 重要 的 问题 。 国 外 有 的 甚至 
规定 记录 绝密 信息 资料 的 磁盘 只 准 用 一 次 ,用 后 必须 销毁 ,不 准 抹 后 重 录 。 


2. 文件 删除 原理 


存储 在 硬盘 中 的 每 个 文件 都 可 分 为 两 部 分 : 文件 头 和 存储 数据 的 数据 区 。 文 件 头 用 
来 记录 文件 名 文件 属性 、 占 用 簇 号 等 信息 。 文 件 头 保存 在 一 个 簇 并 映射 在 FAT RO 
件 分 配 表 ) 中 ,而 真实 的 数据 则 是 保存 在 数据 区 当中 的 。 平 常 所 做 的 删除 ,其 实 是 修改 文 
件 头 的 前 两 个 代码 ,这 种 修改 映射 在 FAT 表 中 ,就 为 文件 做 了 删除 标记 ,并 将 文件 所 占 
HE'S HE FAT 表 中 的 登记 项 清 零 ,表示 释放 空间 ,这 也 就 是 平常 删除 文件 后 ,硬盘 空间 增 
大 的 原因 。 而 真正 的 文件 内 容 仍 保存 在 数据 区 中 ,并 未 得 以 删除 。 要 等 到 以 后 的 数据 写 
入 ,把 此 数据 区 覆盖 掉 , 才 算是 彻底 把 原来 的 数据 删除 。 如 果 不 被 后 来 保存 的 数据 覆盖 ， 
它 就 不 会 从 磁盘 上 抹 掉 。 用 Fdisk 分 区 和 Format 格式 化 和 文件 的 删除 类 似 ,只 是 前 者 改 
变 的 是 分 区 表 , 后 者 修改 的 是 FAT 表 , 都 没有 将 数据 从 数据 区 直接 删除 。 


3. 某 一 分 区 被 误 格式 化 或 文件 丢失 或 误 删 除 的 恢复 


对 于 FAT 格式 的 文件 结构 ,文件 删除 仅仅 是 把 文件 的 首 字 节 改 为 E5H ,其 余 的 内 容 
并 没有 被 修改 ,因此 可 以 比较 容易 恢复 。 可 以 使 用 后 面 介绍 的 数据 恢复 软件 轻松 地 把 误 
删除 或 意外 丢失 的 文件 找 回来 。 不 过 特别 注意 的 是 ,在 发 现 文件 丢失 后 ,准备 使 用 恢复 软 
件 时 , 千 万 不 要 在 本 机 安装 这 些 恢 复工 具 , 因 为 软件 的 安装 可 能 恰恰 把 刚才 丢失 的 文件 覆 
盖 掉 。 最 好 使 用 能 够 从 光盘 直接 运行 的 数据 恢复 软件 ,或 者 把 硬盘 挂 在 别 的 机 器 上 进行 
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恢复 。 

特别 是 文件 存储 在 C 盘 的 情况 下 ,如果 发 现 主 要 文件 被 误 删 除 或 意外 丢失 时 ,这 时 
应 该 立即 关闭 电源 ,用 软盘 启动 进行 恢复 或 把 硬盘 挂 接 到 其 机 器 上 进行 处 理 。 

误 格 式 化 的 情况 可 以 使 用 UNFORFAT 或 EasyRecovery 等 工具 进行 处 理 。 但 是 如 
果 使 用 的 是 Format X:/U 命令 进行 的 格式 化 ,那么 这 种 情况 是 无 法 恢复 的 。 


4. 数据 恢复 范围 


1) 误 操 作 类 

误 删 除 、 误 格式 化 \ 误 分 区 \ 误 克隆 等 。 

2) 破坏 类 

病毒 分 区 表 破 坏 .病毒 FAT、BOOT 区 破坏 .病毒 引起 的 部 分 DATA 区 破坏 。 

3) 软件 破坏 类 

Format,Fdisk,IBM-DM, PartitionMagic 和 Ghost 等 ( 注 : 冲 零 或 低级 格式 化 后 的 硬 
盘 将 无 法 修复 数据 ) 。 

4) 硬件 故障 类 

0 磁道 损坏 ,硬盘 逻辑 锁 .操作 时 断 电 ,硬盘 芯片 烧毁 、 软 盘 / 光 盘 / 硬 盘 无 法 读 盘 。 

5) 加 密 解 密 

Zip、Rar、Office 文档 .Windows 2000/XP 系统 密码 。 


5. 彻底 删除 文件 的 方法 


那么 ,如 何 让 被 删除 的 文件 无 法 恢复 呢 ? 如 果 将 文件 删除 后 重新 写 入 新 数据 ,反复 多 
次 后 原始 文件 就 可 能 找 不 回 了 。 但 操作 起 来 比较 麻烦 ,而 且 也 不 够 保险 。 因 此 最 好 能 借 
助 一 些 专业 的 删除 工具 来 处 理 ,例如 O&O SafeErase 可 以 设置 5 种 删除 级 别 ,默认 的 
Highest Security( 最 高 级 别 的 安全 删除 ) 算 法 将 使 用 预 设 规则 重 写 数据 35 次 ,可 让 原始 
数据 变 得 “面目 全 非 ”。 


6. 数据 恢复 软件 EasyRecovery 简介 


EasyRecovery 是 世界 著名 数据 恢复 公司 Kroll Ontrack 的 技术 杰作 。 其 
Professional 版 更 是 圳 括 了 磁盘 诊断 ,数据 恢复 、 文 件 修复 、.E-mail 修复 全 部 4 大 类 19 个 
项 目的 各 种 数据 文件 修复 和 磁盘 诊断 方案 。 本 实验 使 用 的 就 是 EasyRecovery 
Professioanl, 版 本 为 11. 1 共享 版 ,目前 在 网 上 可 以 很 方便 地 找到 。 

EasyRecovery 在 修复 过 程 中 不 对 原 数 据 进行 改动 ,只 是 以 读 的 形式 处 理 要 修复 的 分 
区 。 它 不 会 将 任何 数据 写 入 它 正在 处 理 的 分 区 。EasyRecovery 可 运行 于 Windows 95, 
98、NT、2000 以 及 XP, 并 且 它 还 包括 了 一 个 实用 程序 用 来 创建 紧急 启动 软盘 ,以 便 在 不 
能 启动 进入 Windows 的 时 候 在 DOS 下 修复 数据 。 

EasyRecovery 修复 范围 : 

"修复 主 引导 扇 区 (MBR)， 

。 修复 BIOS 参数 块 (BPB); 
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。 修复 分 区 表 ; 

。 修复 文件 分 配 表 (FAT) 或 主 文件 表 (MFT); 

。 修复 根 目录 ; 

。 受 病毒 影响 ; 

。 格式 化 或 分 区 ; 

。 误 删 除 ; 

。 由 于 断 电 或 瞬间 电流 冲击 造成 的 数据 毁坏 ; 

由 于 程序 的 非 正常 操作 或 系统 故障 造成 的 数据 毁坏 。 


3.1.6 实验 设备 


主流 配置 PC 一 台 , 要求 安装 Windows 7 操作 系统 ,数据 恢复 软件 
EasyRecoveryll. 1. 


3.1.7 实验 步骤 


(1) 从 指导 老师 处 得 到 数据 恢复 软件 EasyRecovery。 
(2) 安装 软件 。 
(3) 运行 数据 恢复 软件 EasyRecovery, 如 图 3-1-1 所 示 。 


TASEEN SASA Mtn ne 


B 


E Sanz 下 列 链 PS TIE er sel 请 拨打 我 们 的 电话 


胞 ” 单 击 此 处 打开 激活 网 页 


申请 号 : 420493575 
A See 23 SENE 输入 您 的 激活 代码 (不 是 您 的 序列 号 ) ; 单 击 “ 现 
eel: ACTIVATION 
GE: Kroll ontrack Inc. 
>| as) 


mw | 


A311 启动 界面 


单 击 “ 作 为 演示 运行 "按钮 ,如 图 3-1-2 所 示 。 


文件 GA 搜索 附加 许可 帮助 


A" RISES 关于 | 帮助 


Ontrack? EasyRecovery" Home 


SUHREAR Koll Ontrack Inc. 


Ontrack: EasyRecovery” "ERES de VERUM Es ete 


点 击 继续 ISEBIMEEISEHES CAMABKE IE > 


TRAE: 1.016 的 2746 (36. 86 €) TAZBAF: 3.465 的 5.486 (63.13 4) 


图 3-1-2 单 击 “ 作 为 演示 运行 ”按钮 后 的 界面 
单 击 “ 继 续 ” 按 钮 ,如 图 3-1-3 所 示 。 


A» semana AF å UD NR MENTE 


步 又 | 选择 媒体 类 型 
选 泽 您 的 数据 反 失 问题 服 适合 的 柑 体 * PRONE RRR 


A 
"tu 


EUER APA eI eem 


可 用 内 看- 992. 20 的 2 T4C (35.36 9) WARBAE: 3.400 的 5.480 (62.07 9) 


3-1-3. 单 击 “ 继 续 ” 后 进入 软件 数据 恢复 界面 
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CD 硬盘 驱动 器 : 从 内 部 硬盘 或 其 他 大 容量 存储 设备 中 恢复 数据 ; 

© 存储 设备 : 从 闪 盘 或 其 他 移动 闪存 媒体 恢复 数据 ; 

© 光学 媒体 : 从 光学 媒体 如 CD、.CD-R/W、DVD、.DVD-R/W 等 ; 

D 多 媒体 /移动 设备 : 从 多 媒体 或 移动 设备 中 恢复 数据 ,如 数码 相机 、MP3、 智 能 电 


话 等 


© RAID 系统 : 恢复 RAID 系统 的 数据 。 
(4) 在 下 盘 根 目录 ,创建 文件 “ 密 件 . ox ,内容 为 “密码 : 123456”, 并 将 其 复制 到 优 


盘 , 然 后 删除 该 文件 。 


(5) 将 优盘 插入 到 USB 接口 ,并 双击 桌面 的 快捷 方式 Ontrack EasyRecovery 


Professional, 启 动 数据 恢复 软件 。 
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(6) 进入 到 数据 恢复 界面 ,选择 “存储 设备 ”, 并 单 击 “ 继 续 ” 按 钮 ,如 图 3-1-4 所 示 。 


x ong 
*" METANS ^T ER BERTE FEMRE 


步骤 1 选择 媒体 类 型 
BREMMER OR 


ibe 根据 您 89 选 择 ， 程 序 能 优化 恢复 过 程 * 


ets 


学 媒体 Pus $49 RAID 系统 


NEBR Preeti 二 T used Hootie RRAROSRE SEES: 


可 用 内 看- 1.656 的 2.746 (60.37 9) 可 局 交换 内存 : 4 160 的 5 486 (75.99 9) 


图 3-1-4 软件 数据 恢复 界面 中 选择 “存储 设备 ” 


(7) 单 击 “ 继 续 ” 按 钮 ,如 图 3-1-5 所 示 。 

(8) 单 击 “ 继 续 ” 按 钮 ,如 图 3-1-6 所 示 。 

(9) 单 击 “ 继 续 ” 按 钮 ,如 图 3-1-7 所 示 。 

(10) 单 击 “ 继 续 ” 按 钮 ,如 图 3-1-8 所 示 。 

(11) 文件 搜索 完成 后 ,如 图 3-1-9 所 示 。 

(12) 找到 要 恢复 的 文件 “ 密 件 . txt”, 单 击 工具 栏 上 的 “保存 “按钮 ,如 图 3-1-10 所 示 。 
(13) 并 单 击 “ 保 存 ” 按 钮 ,文件 恢复 成 功 。 


* Bob 


o05B5y ^» 8 a8 


Am misma T #9 BTEGEE HEREZA MARIE 


Be | EEE 
1 REBAR T. IRSSÉSAR. MARRAREN. 


可 用 内 存 : 1.626 的 2.746 (59.07) URSA: 4.136 的 5.486 (75.33 4) 


3-1-5 选择 要 恢复 数据 的 优盘 


Am Gat 。 关于 ON OR 。 当知 许可 十 AFERE 


步 又 l 选择 恢复 场景 
O 选 泽 一 个 最 适合 您 的 数据 丢失 问 是 和 恢 四 方案 * 


磁盘 诊断 磁盘 工具 


站 删除 或 者 格式 化 恢复 不 能 找到 您 的 文件 ， 您 也 可 以 选择 此 选项 
使 用 的 区 块 * 


b cszewESGY 

JBEEEBAEISSPHRAR: Hinr Elen: Mses Mwese 固 zsosee。 [ims 
Eireren nt) 
Elis pana RRINIM 


可 用 内 看 - 1.606 的 274G (58.36 4) TAZBAF: 4.09 的 5.486 (74.76 9) 


图 3-1-6 选择 恢复 数据 的 类 型 为 “恢复 已 删除 的 文件 ” 
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THA) 


| 文件 Sum SER 附加 许可 帮助 


Bou 


A" asman XT #8 六 和 许可 去 SIEGE 


SRA 检查 您 的 选项 


i 如 果 您 起 次 变迁 项 ， 请 返回 扫 所 过 程 有 可 能 要 几 个 小 时 ， 这 主要 取决 于 碰 盘 的 大 小 。 


F: (UXJÉUÉ) 


REBR: 收复 已 删除 的 文件 


下 列 文件 系统 将 被 搜索 : FAT 


TAA: Lex 的 2.746 (39.31 9) TAZBAF: 4.196 的 5.496 (75.40 €) 


33-7. 恢复 数据 选项 核查 界面 


搜索 被 删除 的 文件 
a EARS - Wed... 


0.51 € 


图 3-1-8 数据 恢复 进度 界面 
(14) 在 桌面 上 找到 “ 密 件 . txt”, 双 击 打开 文件 ,如 图 3-1-11 所 示 。 
3.1.8 实验 思考 
CD 为 什么 删除 的 磁盘 文件 能 够 恢复 回来 ? 


(2) 怎样 才能 彻底 地 删除 文件 ? 如何 使 用 GPL 通用 公开 授权 文件 删除 软件 Eraser 
将 文件 彻底 删除 ? 
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| #0 asaan XT 


BR | 正在 扫描 磁盘 . . - 
PAM EES - AFH 


Rt CEE] 文人 系统 
138 2014/12/22 10:46:52 19 FATES 
223b 2014/5/16 11:20:37 16 RAW 


~ GB asse 15 ©) 
- Base 9 6) 


E M— 


[d 
Ø z323% 


HRA: 1.39 的 246 (5808 ) 0c 的 5.496 (74.09 到 


图 3-1-9 ”找到 需要 恢复 的 文件 “ 密 件 . txt” 


3-1-10 选择 恢复 文件 的 保存 位 置 
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《网 络 安全 综合 实践 教程 》 


3-1-11 发现 文 件 的 内 容 


3.2 操作 系统 安全 评估 与 检测 
3.2.1 实验 类 型 

综合 型 ,4 学 时 , 必 选 实验 。 
3.2.2 实验 目的 

操作 系统 本 身 设 计 的 安全 性 可 能 比较 高 ,但 可 能 由 于 使 用 和 配置 的 不 当 , 造 成 操作 系 
统 实际 的 安全 性 能 降低 。 通 过 操作 系统 安全 评估 ,发 现 主机 和 网 络 设备 的 漏洞 和 安全 隐 
患 。 通 过 实验 ,使 学 生 认 识 操作 系统 安全 评估 与 检测 的 重要 性 ,掌握 操作 系统 安全 评估 与 
检测 的 内 容 和 方法 。 
3.2.3 题目 描述 

使 用 Windows 基线 分 析 器 MBSA 对 操作 系统 进行 安全 评估 。 
3.2.4 实验 要 求 

能 够 使 用 MBSA 实现 对 本 地 和 远程 的 Windows 操作 系统 实现 安全 评估 。 
3.2.5 相关 知识 

信息 系统 安全 评估 过 程 包括 3 个 阶段 ,分 别 是 文档 审查 阶段 、 现 场 检测 阶段 和 综合 评 


佑 阶段。 评估 依据 有 《信息 系统 安全 保障 通用 评估 准则 ) 及 各 行业 系统 评估 标准 。 评 估 结 
果 以 报告 的 形式 给 出 ,通常 包括 (信息 系统 安全 现场 核查 报告 《信息 系统 安全 测试 报告 》 
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以 及 《信息 系统 安全 综合 评估 报告 ) 等 。 系 统 安全 评估 主要 可 以 划分 为 操作 系统 安全 评估 
和 应 用 服务 系统 安全 评估 ,操作 系统 的 安全 评估 主要 针对 操作 系统 的 漏洞 .不 当 的 配置 ， 
而 应 用 服务 的 安全 评估 是 针对 运行 于 操作 系统 之 上 的 软件 系统 。 应 用 系统 安全 评估 的 对 
象 包含 非 附属 于 操作 系统 的 软件 产品 (如 数据 库 、 业 务 系统 ) 提 供 的 各 种 服务 ,如 Web 服 
务 Mail 服务 .数据库 等 应 用 进行 一 个 全 面 的 安全 评估 。 通 过 对 系统 的 安全 评估 ,还 可 以 
提供 针对 系统 的 优化 建议 和 加 固 服务 ,使 系统 和 应 用 能 够 抵御 各 种 安全 威胁 。 

Windows 系统 的 “漏洞 ?就 像 它 的 GUI( 图 形 界面 ) 一 样 "举世 闻名 ”, 几 乎 每 个 星期 都 
有 新 的 漏洞 被 发 现 。 这 些 漏洞 常 被 计算 机 病毒 和 黑客 们 用 来 非法 入 侵 计 算 机 ,进行 大 肆 
破坏 。 虽 然 微 软 会 及 时 发 布 修补 程序 ,但 是 发 布 时 间 是 随机 的 ,而 且 这 些 漏洞 会 因 
Windows 软件 版 本 的 不 同 而 发 生变 化 ,这 就 使 得 完全 修补 所 有 漏洞 成 为 头号 难题 。 

解决 这 个 难题 的 简单 方法 就 是 利用 特定 的 软件 对 Windows 系统 进行 扫描 ,检查 是 否 
存在 漏洞 ,哪些 方面 存在 漏洞 ,以便 及 时 修补 。 

微软 开发 的 免费 软件 一 一 微软 基准 安全 分 析 器 (Microsoft Baseline Security 
Analyzer. MBSA) ,该 软件 能 对 Windows、Office、IIS、SQL Server 等 软件 进行 安全 和 更 新 
扫描 (如 表 3-2-1 所 示 ) ,扫描 完成 后 会 用 “X” 将 存在 的 漏洞 标示 出 来 ,并 提供 相应 的 解决 
方法 指导 修补 。 


表 3-2-1 MBSA 支持 的 微软 产品 


产 品 名 安全 扫描 更 新 扫描 
Windows Server 2003/XP/2000, NT 4.0 是 是 
Exchange Server 5. 5 及 更 高 版 本 否 是 
IIS 4. 0 及 更 高 版 本 是 是 
IE 5.01 及 更 高 版 本 是 是 
Office 2000 及 更 高 版 本 是 是 
SQL Server 7.0 及 更 高 版 本 是 是 
Windows Media Player 6.4 及 更 高 版 本 否 是 


MBSA 只 能 在 Windows 2000/XP/2003 系统 上 运行 。 在 微软 的 官方 网 站 上 可 以 下 
载 到 最 新 版 的 MBSA ,而 且 只 需要 按照 “安装 向 导 ” 的 提示 操作 即 可 完成 安装 过 程 。 安 装 
完成 后 ,依次 单 击 “ 开 始 ” 一 “程序 ”Microsoft Baseline Security Analyzer 1. 2. 1 程序 项 
(或 双击 “桌面 ”上 的 Microsoft Baseline Security Analyzer 1. 2. 1 快捷 图 标 ), 就 可 弹出 
MBSA 的 主 窗口 。 


3.2.6 实验 设备 


主流 配置 PC — Ff. Windows 2000 操作 系统 ,Windows 基线 分 析 器 MBSA, 
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3.2.7 实验 步骤 


(1) 单 击 MBSA 主 窗口 中 的 Scan a computer( 或 Pick a computer to scan) 菜 单 ,将 
弹出 Pick a computer to scan 对 话 框 ,如 图 3-2-1 所 示 。 


Pick a computer to scan 


Speciy the computer you wart Vo ican Yos Ca^ entes ether the computer name a i P 


Coben FRR —— 2] Weep 
Patton cas oe | 
Secuhy reor none. ay 

Sos Congue TX = date and time. 

FF Check (ce indones volue 

FF Check lo mai pim 

FF Check fec gdrenablites 

FF Check ho SQL wannabes 

FP Check for sporty sedation 

P tue Sus Server 


Lasn mare about Scanning Ostos 


3-21 选择 被 扫描 的 计算 机 


要 想 让 MBSA 成 功 扫描 计算 机 , 需 在 此 对 话 框 中 进行 正确 的 参数 设置 。 

(2) 设 定 要 扫描 的 对 象 。 

告诉 MBSA 要 扫描 的 计算 机 是 扫描 成 功 的 基础 。MBSA 提供 两 种 方法 。 

方法 1: 在 Computer name 文本 框 中 输入 计算 机 名 称 ,格式 为 “工作 组 名 \ 计 算 机 名 ”。 

在 默认 情况 下 ,MBSA 会 显示 运行 MBSA 的 计算 机 的 名 称 ,“WORKGROUP” 是 所 
运行 MBSA 的 计算 机 所 属 的 工作 组 名 称 ,“JXNO” 是 计算 机 名 称 。 

方法 2: TE IP address 文本 框 中 输入 计算 机 的 IP 地 址 。 在 此 文本 框 中 允许 输入 在 同 
一 个 网 段 中 的 任意 TP 地 址 ,但 不 能 输入 跨 网 段 的 IP, 和 否则 会 提示 Computer not found. 
(计算 机 没有 找到 ) 的 信息 。 

(3) 设 定安 全 报告 的 名 称 格式 。 

每 次 扫描 成 功 后 ,MBSA 会 将 扫描 结果 以 “安全 报告 ”的 形式 自动 地 保存 起 来 。 
MBSA 允许 自行 定义 安全 报告 的 文件 名 格式 ,只 要 在 Security report name 文本 框 中 输入 
文件 格式 即 可 。 

MBSA 提供 两 种 默认 的 名 称 格式 :"%D%-%C%(%T%)" (域名 -计算 机 名 (日 期 
WO) Al" /6D26- 61P 26 CS T 240 " GU -IP 地 址 (日 期 截 ) ) 。 


| 


(4) 设 定 扫描 中 要 检测 的 项 目 。 

MBSA 允许 检测 包括 Office, IIS 等 在 内 的 多 种 微软 软件 产品 的 漏洞 。 在 默认 情况 
下 ,无 论 计算 机 是 否 安装 了 以 上 软件 , MBSA 都 要 检测 计算 机 上 是 否 存 在 以 上 软件 的 漏 
洞 。 这 不 但 浪费 扫描 时 间 ,而 且 影响 扫描 速度 。 可 以 根据 实际 情况 进行 选择 ,对 于 一 些 没 
有 安装 的 软件 可 以 不 选 ,例如 : 若 没 有 安装 SQL Server, 则 可 不 选中 Check for SQL 
vulnerabilities 复 选 项 ,这 样 能 缩短 扫描 时 间 ,提高 扫描 速度 。 

基于 这 点 考虑 ,MBSA 提供 了 让 用 户 自主 选择 检测 项 目的 功能 。 只 要 选中 (或 取消 ) 
Options 中 某 个 复 选 项 ,就 可 让 MBSA 检测 (或 忽略 ) 该 项 目 。 

不 过 ,允许 自主 选择 的 项 目 只 有 Check for Windows vulnerabilities( 检 查 Windows 
的 漏洞 ) .Check for weak passwords( 检 查 密码 的 安全 性 )、Check for IIS vulnerabilities 
(检查 IIS 系统 的 漏洞 )、Check for SQL vulnerabilities( 检 查 SQL Server 的 漏洞 ) 等 4 项。 

至 于 其 他 项 目 ( 如 Office 软件 的 漏洞 等 )MBSA 会 强制 扫描 。 

(5) 设 定安 全 漏洞 清单 的 下 载 途 径 。 

MBSA 的 工作 原理 是 : 以 一 份 包含 了 所 有 已 发 现 的 漏洞 的 详细 信息 (如 什么 软件 隐 
含 漏洞 漏洞 存在 的 具体 位 置 .漏洞 的 严重 级 别 等 ) 的 安全 漏洞 清单 为 蓝本 ,全面 扫描 计算 
机 ,将 计算 机 上 安装 的 所 有 软件 与 安全 漏洞 清单 进行 对 比 。 如 果 发 现 某 个 漏洞 ,MBSA 
就 会 将 其 写 人 到 安全 报告 中 。 

因此 ,要 想 让 MBSA 准确 地 检测 出 计算 机 上 是 否 存在 漏洞 ,安全 漏洞 清单 的 内 容 是 
否 是 最 新 的 就 至 关 重要 了 。 

由 于 新 的 漏洞 不 断 被 发 现 , 所 以 要 像 更 新 防 病毒 软件 的 病毒 库 一 样 ,及 时 更 新 安全 漏 
洞 清单 。MBSA 提供 了 两 种 更 新 方法 。 

方法 1: 从 微软 官方 网 站 上 下 载 

微软 会 在 它 的 官方 网 站 上 及 时 发 布 最 新 的 安全 漏洞 清单 ,所 以 MBSA 被 默认 设置 为 
每 一 次 扫描 时 自动 链接 到 微软 官方 网 站 下 载 最 新 的 安全 漏洞 清单 。 如 果 已 经 下 载 了 最 新 
的 安全 漏洞 清单 , 则 可 取消 Check for security updates 复 选项 。 否 则 应 该 选中 此 复 选项 ， 
以 确保 安全 漏洞 清单 的 内 容 是 最 新 的 。 

此 方法 适用 于 能 连 入 Internet 的 计算 机 。 

方法 2: 从 SUS 服务 器 上 下 载 

有 些 局 域 网 中 架设 了 软件 升级 服务 (Software Update Services,SUS) 服 务 器 ,所 以 此 
类 可 以 选择 此 方法 下 载 最 新 的 安全 漏洞 清单 ,只 要 选中 Use SUS Server 复 选 框 , 并 在 其 
下 的 文本 框 中 输入 SUS 的 地 址 即 可 。 

(6) 根据 自身 情况 设置 好 各 项 参数 后 单 击 Start Scan 菜单 ,将 弹出 Scanning 对 话 框 ， 
MBSA 将 开始 扫描 指定 的 计算 机 ,如 图 3-2-2 所 示 。 

(7) 扫描 完成 后 , MBSA 会 将 扫描 的 结果 以 安全 报告 的 形式 保存 到 “X:\Documents 
and Settings\username\SecurityScans”(X 指 Windows 的 系统 分 区 符 ,username 是 操作 
MBSA 的 人 员 姓 名 ) 文 件 夹 中 。 此 时 ,MBSA 还 会 自动 弹出 View security report 对 话 窗 ， 
将 刚 生 成 的 安全 报告 的 内 容 显示 出 来 ,如 图 3-2-3 所 示 。 

可 以 根据 安全 报告 的 Score 列 中 不 同 颜 色 的 图 标 来 简单 区 分 被 扫描 的 计算 机 上 哪些 
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t Baseline Security Analyzer 


Currently scanning MSHOME\JACKYPC 


CIIIIIIIIIIIIIIIIIIIIIIIIIII 


Done downloading security update information. 


H3-2-2 ”扫描 过 程 


Microsoft Baseline Security Analyzer 2.1 


€® tv Baseline Security Analyzer 


Not all hard drives are using the NTFS fie system. 
What was scanned Result detals — How to correct this 


A previous software update instalation was not completed. You must restart your computer to finish the 
instalation. If the incomplete instalation was a security update, then the computer may be at risk unti the 


computer is restarted. 
What was scanned How to correct the 


Windows Firewall is disabled and has exceptions configured. 7 of 7 network connections either do not 


have Windows Frewall enabled, or they are enabled with exceptions. 
What was scanned  Resutdetais How to correct this 
No user accounts have simple passwords. 
What was scanned Result detals 
The Guest account is not disabled on this computer. 
What was scanned 
Computer is properly restrictng anonymous access. 
What was scanned 
Administrators were found on this computer. 
« canned Resit detais 
This check was skipped because the computer is not joined to a domain. 
What was scanned 
Ths ias shipped because the computer is not joined to a domain. 


canned 


Qmm ae tene 


E Print tis report T copy to dipboard 


图 3-2-3 ”扫描 结果 


方面 存在 漏洞 ,哪些 方面 需要 改进 .如 下 所 示 。 


—————————18 


CD 绿色 的 V 图 标 表示 该 项 目 已 经 通过 检测 。 


© 红色 (或 黄色 ) 的 X 图 标 表示 该 项 目 没有 通过 检测 , 即 存在 漏洞 或 安全 隐患 。 
O 蓝 色 的 x* 图 标 表 示 该 项 目 虽然 通过 了 检测 但 可 以 进行 优化 ,或 者 是 由 于 某 种 原因 


MBSA 跳 过 了 其 中 的 某 项 检测 。 

@ 白色 的 i 图 标 表示 该 项 目 虽 然 没 有 通过 检测 ,但 问题 不 很 严重 ,只 需要 进行 简单 的 
修改 即 可 。 

但 是 这 种 判断 方法 很 不 准确 ,正确 的 方法 是 查看 检测 项 目的 Result 列 中 是 否 含有 
How to correct this( 如 何 修正 它 ) 选 项 。 只 要 有 项 目 存 在 ,就 应 该 单 击 How to correct 
this 选项 。 然 后 根据 提供 的 解决 方法 ,或 是 下 载 相应 的 补丁 程序 ,或 是 修改 相关 的 设置 ， 
就 可 修正 存在 的 问题 。 

例如 : 安全 报告 提示 IE ZonesCIE 区 域 设 置 ) 项 目 没有 通过 检测 , 单 击 How to correct 
this 选项 后 都 将 弹出 信息 提示 窗 ( 如 图 3-2-4 所 示 ) ,根据 Solution( 解 决 方法 ) 处 的 文字 信息 
得 知 , 只 要 按照 nstructions( 提 示 信 息 ) 中 的 步骤 更 改 TE. 的 区 域 设置 值 即 可 解决 。 


一 
- Q ff o- [OBAIR 


cR ”图 ae Bam Aa O 师 院 首页 (D 枚 务 处 后 台 登 后 [请 O 遵义 师范 学 院 图 书 | 


t Baseline Security Analyzer 


File System 


Issue 
1f you are running the FAT file system, which is not a secured file system, you should consider cond 


Secured file systems, such as NTFS, are a key component of security, because they restrict user a 
allowed (for example, read or modify). NTFS protects your data by preventing unwanted user ac: 


* You need to manually secure your files by using access control lists (ACLs). To do this, right-clicl 
the file. 


Solution 
Convert your system from FAT to NTFS. For more information, view the documentation below on us| 


Additional Information 
Choosing between NTFS, FAT, and FAT32 
How re the Default NTFS Permissions for Window: 


©2002-2007 Microsoft Corporation. All rights reserved. 


3-2-4 ”提示 信息 


(8) 扫描 多 台 计 算 机 。 

此 项 功能 是 “扫描 一 台 计 算 机 ”功能 的 延伸 ,只 是 将 扫描 对 象 扩大 到 网 络 中 的 一 个 域 
a IP 地 址 段 , 它 的 工作 原理 与 “扫描 一 台 计 算 机 ?相同 , 即 以 安全 漏洞 清单 为 蓝本 ,对 指定 
域 ( 或 TP 地址 段 ) 中 的 所 有 计算 机 逐一 进行 扫描 ,如 图 3-2-5 所 示 。 

注意 : MBSA 只 能 扫描 网 络 中 安装 了 Windows NT 4.0/2000/XP/2003 操作 系统 的 
计算 机 ,而 不 能 扫描 Windows 9X/Me 系统 的 计算 机 。 

具体 的 操作 步骤 如 下 。 

第 一 步 : it MBSA 主 窗 口中 的 Scan more than one computer( 或 Pick multiple 
computer to scan) 菜 单 ,将 弹出 Pick multiple computer to scan 对 话 框 。 

在 此 对 话 框 中 也 要 进行 必要 的 、 准 确 的 设置 。 但 由 于 此 功能 是 “扫描 一 台 计 算 机 (Scan 
a computer)” 功 能 的 扩展 ,所 以 Security report name 和 Options 处 的 设置 可 以 参照 操作 。 

不 同 的 是 “指定 要 扫描 的 对 象 ?方面 : 只 要 在 Domain name 文本 框 中 输入 要 被 扫描 的 
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(MAREE 


Which computers do you want to scan? 


Enter the domain name or the range of IP addresses of the computers. 


m ca 
P adress range: [5B [m e a X 
Security report name: fox 


WD % = domain, %C% = computer, WT% = date and time, IP% = IP address 
Options: 


I. Check for Windows administrative vunerabltes 

check for weak passwords 

了 网 Check for TIS administrative vulnerabilities 

FZ Check for SQL administrative vulnerabilities 

FZ Check for security updates 
T7. Configure computers for Microsoft Update and scanning prerequisites 
T7. Advanced Update Services options: 

e 


3-2-5 扫描 多 台 计算 机 


域 的 名 称 , 或 在 IP address range 文本 框 中 输入 要 被 扫描 的 IP 地 址 范围 ,就 能 让 MBSA 
扫描 某 个 域 (或 IP 地 址 段 ) 中 的 所 有 计算 机 。 

注意 : 无 论 域 (或 IP 地 址 段 ) 中 的 所 有 计算 机 安装 的 软件 是 否 相同 ,MBSA 都 将 依据 
Options 处 的 设置 “一 视 同仁 ”地 扫描 每 台 计 算 机 。 

第 二 步 : 设 定 好 各 项 参数 后 单 击 Start Scan 菜单 ,将 弹出 Scanning 对 话 框 ,如 图 3-2-6 


Microsoft 
** Baseline Security Analyzer 


Scanning... 


[TT] 


Started scanning 10f 11 
Completed scanning 1 of 11 


Critical scanning problems found: 1 


图 3-2-6 ”扫描 过 程 
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所 示 ,MBSA 将 依次 扫描 域 ( 或 IP 地 址 段 ) 中 的 每 台 计 算 机 。 完 成 扫描 所 需要 的 时 间 与 
被 扫描 的 计算 机 数量 和 设置 的 扫描 项 目 有 关 。 

第 三 步 : 与 “扫描 一 台 计 算 机 ”功能 不 同 的 是 ,扫描 结束 后 ,将 弹出 Unable to scan all 
computers 对 话 框 。 在 此 对 话 框 中 ,将 列举 没有 扫描 成 功 的 计算 机 名 (或 IP 地 址 ) 及 原 
因 。 扫 描 失败 的 原因 有 两 种 ,如 图 3-2-7 所 示 。 


rosoft Baseline Security Analyzer 2.1 


® Baseline Security Analyzer 


Unable to scan all computers 


102.1973: Logon fahre: unknown user name or bad password 


lii--— reor i ven 


3-2-7 出现 某 些 主机 不 能 被 扫描 


e User is not an administrator on the scanned machine. : 被 扫描 的 计算 机 没有 超级 
管理 员 权 限 。 
造成 这 种 情况 出 现 的 原因 主要 是 没有 以 Administrator 的 管理 员 登 录 操 作 MBSA 的 
计算 机 或 者 被 扫描 的 计算 机 设置 了 登录 密码 。 
* This is not a Windows NT/2000/XP/2003 Server or Workstation. ; 被 扫描 的 计 
算 机 不 是 Windows NT 4. 0/2000/XP/2003 系统 。 
造成 这 种 情况 出 现 的 原因 是 被 扫描 的 计算 机 没有 安装 Windows NT 4.0/2000/XP/ 
2003 操作 系统 ,可 能 安装 了 Windows 9X/Me 系统 ,或 者 安装 了 非 Windows 操作 系统 ,如 
Linux 等 ;或 者 ,被 扫描 的 根本 就 不 是 计算 机 ,可 能 是 其 他 网 络 设备 ,如 路 由 器 等 。 
第 四 步 : 在 Unable to scan all computers 对 话 窗 的 底部 还 会 显示 以 下 菜单 之 一 
引导 进行 下 一 步 操作 。 
。 若 显示 Continue 菜单 : 说 明 此 次 扫描 中 没有 一 台 计算 机 扫描 成 功 。 单 击 此 菜单 
后 将 返回 到 MBSA 的 主 窗口 。 
* 若 显示 Pick a security report to view 菜单 : 说 明 此 次 扫描 中 至 少 有 一 台 计 算 机 
成 功 地 完成 扫描 并 生成 了 安全 报告 。 单 击 此 菜单 后 将 弹出 Pick a security report 
to view 对 话 窗 。 此 时 ,MBSA 将 显示 所 有 扫描 成 功 的 计算 机 的 安全 报告 , 供 选 择 
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查看 其 详细 内 容 。 

说 明 : 此 时 无 论 扫描 成 功 的 计算 机 是 几 台 ,MBSA 都 不 会 生成 综合 性 的 安全 报告 ,而 
是 为 每 一 台 计 算 机 生成 各 自 单独 的 安全 报告 。 

第 五 步 : 选择 、 查 看 安全 报告 。 

单 击 MBSA 主 窗口 中 的 Pick a security report to view (或 View existing security 
reports) 菜 单 , 将 弹出 Pick a security report to view 窗口 。 在 此 窗口 中 ,MBSA 将 列 出 已 
有 的 所 有 安全 报告 清单 (包括 安全 报告 名 、 生 成 日 期 等 信息 ) ,双击 安全 报告 名 就 可 查看 其 
详细 内 容 , 如 图 3-2-8 所 示 。 


® ‘Baseline Security Analyzer 
can Rese fase i Pick a security report to view 
Securby repots ate located ri D Documeein and Sening NOWO Secuity6cant 


108790822 Sewwefih — 2006-11-24 1600. 


图 3-2-8 扫描 结果 


安全 报告 的 具体 内 容 、 格 式 、 操 作 方法 与 “扫描 一 台 计 算 机 ?部 分 的 第 三 步 和 第 四 步 大 
同 小 异 ,可 以 参照 操作 。 

(9) 命令 行 用 法 。 

MBSA 不 但 能 以 GUI 界面 运行 ,还 能 在 命令 提示 符 下 运行 ,执行 其 安装 目录 下 的 
mbsacli. exe 文件 就 能 实现 。mbsacli. exe 文件 不 仅 提 供 了 丰富 、 灵 活 的 参数 ,而 且 还 支持 
两 种 语法 结构 。 

一 种 是 MBSA 标准 的 命令 行 语 法 结构 , 即 “mbsacli 参数 "格式 。 在 命令 提示 符 下 运 
行 “mbsacli/?”( 仅 双 引 号 内 的 文字 ) 命 令 可 以 显示 详细 的 语法 信息 。 另 一 种 是 模拟 补丁 
检查 工具 HFNetChk 的 命令 行 语法 结构 , 即 “mbsacli /hf 参数 "格式 。 运 行 “mbsacli / 
hf/?”( 仅 双 引 号 内 的 文字 ) 命 令 可 以 显示 详细 的 语法 信息 。 

mbsacli. exe 还 能 用 于 各 种 脚本 环境 中 ,如 命令 脚本 (. bat 或 . cmd XPF), WSH 脚本 
(.vbs 或 .js 文件) 等 。 通 过 这 些 脚 本 的 调用 ,结合 Windows 系统 的 其 他 功能 (如 “计划 任 
务 ” 功 能 ) 就 能 实现 对 计算 机 的 灵活 扫描 。 
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此 外 ,在 MBSA 的 安装 目录 下 还 有 两 个 文本 文件 ,编辑 它们 就 能 定制 MBSA 的 扫描 
过 程 和 方式 。 
services, txt 文件 包含 了 MBSA 要 扫描 的 服务 ( 见 图 3-2-9) ,默认 值 为 MSFTPSVC、 


TIntSvr、W3SVC 和 SMTPSVC 服务 。 添 加 (或 删除 ) 服 务 名 可 以 让 MBSA 进行 (或 忽 
略 ) 对 该 服务 的 检测 。 


listed in the resulting security report. The status of each service 

(stopped or started) will be listed in the Results Details page in 
the report. When editing this list, include the service name for 
@ach service you wish to be scanned on a separate line. 
The service name can be found by looking at the Properties for 

* the service in the Services Control Panel applet. 


3-2-9 扫描 的 服务 


NoExpireOk. txt 文件 包含 了 MBSA 不 扫描 的 账户 名 ,如 IUSR_* ,IWAM *, 


SUPPORT. * ,SQLDebugger 等 ,如 图 3-2-10 所 示 。 删 除 (或 添加 ) 账 户 名 可 以 让 MBSA 
增加 (或 忽略 ) 对 该 账户 的 检测 。 
(10) 注意 事项 。 


* Account names listed in this file will not be 

* reported as potential security problems in the 
* Password Expiration test. If the name ends with 
* an asterisk (*) then all accounts with that 

* initial string will not be reported. 

* Account nanes are not case-sensitive 


iSInternetUser 


图 3-2-10 ”扫描 的 账号 


MBSA 虽然 好 用 ,但 是 在 使 用 过 程 中 还 需要 注意 以 下 事项 。 
(D MBSA 对 Windows, Office IIS 等 软件 进行 的 扫描 包括 以 下 两 种 。 
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*。“ 安 全 扫描 ?是 指 扫描 以 上 软件 是 否 进行 了 安全 的 配置 ,如 IIS 锁定 工具 是 否 已 运 
行 ,文件 系统 的 类 型 是 否 都 采用 了 NTFS 格式 等 。 

。“ 更 新 扫描 ”是 指 扫描 以 上 软件 是 否 安装 了 最 新 的 补丁 程序 。 

© MBSA 执行 的 是 微软 所 谓 的 “基准 扫描 ”, 即 只 扫描 和 报告 Windows Update 定义 
的 “关键 更 新 ”, 而 不 是 扫描 和 报告 所 有 的 更 新 。 而 且 MBSA 不 会 自动 安装 更 新 ,需要 另 
行 操作 完成 。 否 则 ,漏洞 依然 存在 。 

© MBSA 是 基于 IE 页 面 开发 的 ,所 以 要 运行 MBSA 需要 Internet Explorer 5.01 以 
上 才 行 ,而 且 IE 的 所 有 设置 项 都 会 影响 MBSA 的 运行 。 

@ 每 次 扫描 后 生成 的 安全 报告 是 以 明码 格式 保存 到 固定 的 文件 夹 中 。 因 此 ,容易 被 
黑客 利用 从 而 找 出 计算 机 的 漏洞 所 在 。 所 以 建议 对 安全 报告 另行 处 理 ( 如 打印 、 备 份 到 其 
他 目录 等 ) ,然后 彻底 删除 SecurityScans 文件 夹 中 的 所 有 文件 ,以 防 被 他 人 利用 。 

总 之 ,为 了 确保 计算 机 系统 的 安全 ,除了 安装 安全 防护 软件 (如 杀毒 软件 .防火 墙 等 ) 
外 ,及 时 安装 漏洞 补丁 程序 是 非常 重要 的 。 但 怎么 才能 知道 哪些 补丁 程序 还 没有 安装 呢 ? 
使 用 了 MBSA 就 可 以 知道 得 一 清二 楚 。 而 且 MBSA 具有 其 他 同类 软件 无 法 比拟 的 优 
点 : 除了 能 检查 Windows 的 漏洞 ,还 能 检测 Office, TIS 等 微软 产品 的 漏洞 。 故 建议 使 用 
Windows 2000/XP/2003 的 下 载 该 软件 ,用 它 检 测 出 计算 机 中 隐 含 的 漏洞 和 安全 隐患 , 尽 
早 修补 ,以 增强 计算 机 的 安全 性 。 

当然 ,除了 MBSA 之 外 ,还 有 很 多 免费 或 共享 漏洞 扫描 工具 (如 HFNetChk、 
LANguard Network Security Scanner 等 ) ,它们 的 功能 也 很 实用 ,有 兴趣 的 可 以 一 试 。 


3.2.8 实验 思考 


(1) Windows 操作 系统 常见 的 不 安全 配置 包括 哪些 方面 ? 
(2) 安全 评估 与 安全 检测 的 区 别 和 联系 是 什么 ? 


3.3 数据 加 密 与 鉴别 
3.3.1 实验 类 型 
3.3.2 实验 目的 

密码 技术 是 实现 网 络 信息 安全 的 核心 技术 ,是 保护 数据 最 重要 的 工具 之 一 。 密 码 技 
术 在 保护 信息 安全 方面 所 起 的 作用 体现 为 保证 信息 的 机 密 性 、 数 据 完整 性 、 验 证 实体 的 身 
份 和 数字 签名 的 抗 否认 性 。 通 过 实验 ,使 学 生 掌 握 古 典 密码 、 对 称 密码 体制 、 非 对 称 密码 


体制 消息 认证 、 数 字 签 名 和 信息 鉴别 等 密码 算法 的 特点 和 密 钥 管理 的 原理 ,能 够 使 用 数 
据 加 密 技术 解决 相关 的 实际 应 用 问题 ,理解 密码 分 析 的 特点 。 
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3.3.3 题目 描述 


使 用 自由 软件 dscrypt 完成 文件 的 对 称 加密 和 非 对 称 加 密 操作 ,使 用 自由 软件 
ImageMark 进行 数字 水 印 操作 ,完成 经 典 加 密 算 法 蔡 换 加 密 。 


3.3.4 实验 要 求 


理解 各 种 常见 加 密 算法 的 特点 ,能 够 使 用 对 称 加 密 、 非 对 称 加 密 软件 完成 文件 的 加 密 
操作 ,能 够 使 用 数字 水 印 软件 实现 数字 水 印 操作 。 提 高 要 求 : 能 够 实现 DES 算法 或 RSA 
算法 。 


3.3.5 相关 知识 


密码 技术 是 信息 安全 的 核心 。 随 着 计算 机 网 络 不 断 渗透 到 各 个 领域 ,密码 学 的 应 用 
也 随 之 扩大 。 数 字 签 名 .身份 鉴别 等 都 是 由 密码 学 派生 出 来 的 新 技术 和 应 用 。 


1. 数据 加 密 原理 和 体制 


(1) 数据 加 密 : 在 计算 机 上 实现 的 数据 加 密 , 其 加 密 或 解密 变换 是 由 密 钥 控制 实现 
的 。 密 钥 (Keyword) 是 用 户 按照 一 种 密码 体制 随机 选取 , 它 通常 是 一 随机 字符 串 , 是 控制 
明文 和 密 文 变换 的 唯一 参数 。 

(2) 数字 签名 、 密 码 技术 除了 提供 信息 的 加 密 解 密 外 ,还 提供 对 信息 来 源 的 鉴别 、 保 
证 信息 的 完整 和 不 可 否认 等 功能 ,而 这 3 种 功能 都 是 通过 数字 签名 实现 的 。 数 字 签 名 的 
原理 是 将 要 传送 的 明文 通过 一 种 函数 运算 (Hash) 转 换 成 报 文摘 要 (不 同 的 明文 对 应 不 同 
的 报 文摘 要 ), 报 文摘 要 加 密 后 与 明文 一 起 传送 给 接收 方 ,接收 方 将 接收 的 明文 产生 新 的 
报 文 摘要 与 发 送 方 的 发 来 报 文摘 要 解密 比较 ,比较 结果 一 致 表示 明文 未 被 改动 ,如 果 不 一 
致 表示 明文 已 被 算 改 。 


2. 加 密 体制 及 比较 


根据 密 钥 类 型 不 同 将 现代 密码 技术 分 为 两 类 : 一 类 是 对 称 加 密 ( 秘 密 钥 是 加 密 ) 系 
统 , 另 一 类 是 公开 密 钥 加 密 ( 非 对 称 加 密 ) 系 统 。 对 称 钥 匙 加密 系统 是 加 密 和 解密 均 采 用 
同一 把 秘密 钥匙 ,而 且 通信 双方 都 必须 获得 这 把 钥匙 ,并 保持 钥匙 的 秘密 。 

对 称 密码 系统 的 安全 性 依赖 于 以 下 两 个 因素 。 第 一 ,加 密 算 法 必须 是 足够 强 的 ,仅仅 
基于 密 文 本 身 去 解密 信息 在 实践 上 是 不 可 能 的 ;第 二 ,加 密 方法 的 安全 性 依赖 于 密 钥 的 秘 
密 性 ,而 不 是 算法 的 秘密 性 ,因此 ,没有 必要 确保 算法 的 秘密 性 ,而 需要 保证 密 钥 的 秘密 
性 。 对 称 加 密 系统 的 算法 实现 速度 极 快 , 从 AES 候选 算法 的 测试 结果 看 ,软件 实现 的 速 
度 都 达到 了 每 秒 数 兆 或 数 十 兆 比 特 。 对 称 密码 系统 的 这 些 特 点 使 其 有 着 广泛 的 应 用 。 因 
为 算法 不 需要 保密 ,所 以 制造 商 可 以 开发 出 低 成 本 的 芯片 以 实现 数据 加 密 。 这 些 芯片 有 


25 


《网 络 安全 综合 实践 教程 》 


着 广泛 的 应 用 ,适合 于 大 规模 生产 。 

对 称 加 密 系 统 最 大 的 问题 是 密 钥 的 分 发 和 管理 非常 复杂 、 代 价 高 昂 。 例 如 对 于 具有 
nn 个 用 户 的 网 络 ,需要 n(n 一 1)/2 个 密 钥 ,在 用 户 群 不 是 很 大 的 情况 下 ,对 称 加 密 系统 是 
有 效 的 。 但 是 对 于 大 型 网 络 , 当 用 户 群 很 大 ,分 布 很 广 时 , 密 钥 的 分 配 和 保存 就 成 了 大 问 
题 。 对 称 加 密 算法 另 一 个 缺点 是 不 能 实现 数字 签名 。 

公开 密 钥 加 密 系统 采用 的 加 密 钥匙 ( 公 钥 ) 和 解密 钥匙 ( 私 钥 ) 是 不 同 的 。 由 于 加 密 钥 
匙 是 公开 的 , 密 钥 的 分 配 和 管理 就 很 简单 ,例如 对 于 具有 个 用 户 的 网 络 , 仅 需要 2n 个 密 
H. 公开 密 钥 加 密 系统 还 能 够 很 容易 地 实现 数字 签名 。 因 此 ,最 适合 于 电子 商务 应 用 需 
要 。 在 实际 应 用 中 ,公开 密 钥 加 密 系统 并 没有 完全 取代 对 称 密 钥 加 密 系统 ,这 是 因为 公开 
密 钥 加 密 系 统 是 基于 尖端 的 数学 难题 ,计算 非常 复杂 , 它 的 安全 性 更 高 ,但 它 实现 速度 却 
远 赶不上 对 称 密 钥 加 密 系统 。 在 实际 应 用 中 可 利用 二 者 的 各 自 优 点 ,采用 对 称 加 密 系统 
加 密 文 件 , 采 用 公开 密 钥 加 密 系统 加 密 “ 加 密 文 件 ” 的 密 钥 ( 会 话 密 钥 ) ,这 就 是 混合 加 密 系 
统 , 它 较 好 地 解决 了 运算 速度 问题 和 密 钥 分 配 管理 问题 。 因 此 , 公 钥 密码 体制 通常 被 用 来 
加 密 关键 性 的 核心 的 机 密 数 据 , 而 对 称 密码 体制 通常 被 用 来 加 密 大 量 的 数据 。 


3. 对 称 密码 加 密 系统 


对 称 加 密 系统 最 著名 的 是 美国 数据 加 密 标 准 DES、AES( 高 级 加 密 标准 ) 和 欧洲 数据 
加 密 标准 IDEA 。 

1977 年 美国 国家 标准 局 正式 公布 实施 了 美国 的 数据 加 密 标 准 DES, 公 开 它 的 加 密 算 
法 ,并 批准 用 于 非 机 密 单 位 和 商业 上 的 保密 通信 。 随 后 DES 成 为 全 世界 使 用 最 广泛 的 加 
密 标 准 。 加 密 与 解密 的 密 钥 和 流程 是 完全 相同 的 ,区 别 仅仅 是 加 密 与 解密 使 用 的 子 密 钥 
序列 的 施加 顺序 刚好 相反 。 

但 是 ,经 过 20 多 年 的 使 用 ,已 经 发 现 DES 很 多 不 足 之 处 ,对 DES 的 破解 方法 也 日 趋 
有 效 。AES 将 会 替代 DES 成 为 新 一 代 加 密 标 准 。 


4. 公 钥 密码 加 密 系 统 


自 公 钥 加 密 问世 以 来 ,学 者 们 提出 了 许多 种 公 钥 加 密 方法 ,它们 的 安全 性 都 是 基于 复 
杂 的 数学 难题 。 根 据 所 基于 的 数学 难题 来 分 类 ,有 以 下 三 类 系统 目前 被 认为 是 安全 和 有 
效 的 : 大 整数 因子 分 解 系统 (代表 性 的 有 RS AO 、 椭 圆 曲 线 离散 对 数 系统 (ECC) 和 离散 对 
数 系统 (代表 性 的 有 DSA). 

当前 最 著名 应 用 最 广泛 的 公 钥 系统 RSA 是 由 Rivet, Shamir, Adelman 提出 的 ( 简 
称 为 RSA 系统 ) , 它 的 安全 性 是 基于 大 整数 因子 分 解 的 困难 性 ,而 大 整数 因子 分 解 问题 是 
数学 上 的 著名 难题 ,至 今 没 有 有 效 的 方法 予以 解决 ,因此 可 以 确保 RSA 算法 的 安全 性 。 
RSA 系统 是 公 钥 系统 的 最 具有 典型 意义 的 方法 ,大 多 数 使 用 公 钥 密码 进行 加 密 和 数字 签 
名 的 产品 和 标准 使 用 的 都 是 RSA 算法 。 

RSA 方法 的 优点 主要 在 于 原理 简单 .易于 使 用 。 但 是 , 随 着 分 解 大 整数 方法 的 进步 
及 完善 ,计算 机 速度 的 提高 以 及 计算 机 网 络 的 发 展 (可 以 使 用 成 千 上 万 台 机 器 同时 进行 大 
整数 分 解 ) ,作为 RSA 加 解密 安全 保障 的 大 整数 要 求 越 来 越 大 。 为 了 保证 RSA 使 用 的 安 
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全 性 ,其 密 钥 的 位 数 一 直 在 增加 ,例如 ,目前 一 般 认 为 RSA 需要 1024 位 以 上 的 字 长 才 有 
安全 保障 。 但 是 , 密 钥 长 度 的 增加 导致 了 其 加 解密 的 速度 大 为 降低 ,硬件 实现 也 变 得 越 来 
越 难以 忍受 ,这 对 使 用 RSA 的 应 用 带 来 了 很 重 的 负担 ,对 进行 大 量 安全 交易 的 电子 商务 
更 是 如 此 ,从 而 使 得 其 应 用 范围 越 来 越 受 到 制约 。 

DSA(Data Signature Algorithm) 是 基于 离散 对 数 问题 的 数字 签名 标准 , 它 仅 提供 数 
字 签 名 ,不 提供 数据 加 密 功能 。 安 全 性 更 高 .算法 实现 性 能 更 好 的 公 钥 系统 椭圆 曲线 加 密 
算法 ECC(Elliptic Curve Cryptography) 基 于 离散 对 数 的 计算 困难 性 。 

椭圆 曲线 加 密 方法 椭圆 曲线 密码 编码 学 (EllipticCurvesCryptography, ECC) 是 基于 
椭圆 曲线 上 离散 对 数 计算 问题 。 椭 圆 曲 线 密码 体制 来 源 于 对 椭圆 曲线 的 研究 。 椭 圆 曲线 
加 密 方法 与 RSA 方法 相 比 ,有 以 下 优点 。 

(1) 安全 性 能 更 高 。 

加 密 算法 的 安全 性 能 一 般 通过 该 算法 的 抗 攻 击 强度 来 反映 。ECC 和 其 他 几 种 公 钥 
系统 相 比 ,其 抗 攻 击 性 具有 绝对 的 优势 。 如 160 位 ECC 与 1024 位 RSA、DSA 有 相同 的 
安全 强度 。 而 210 位 ECC 则 与 2048bit RSA,DSA 具有 相同 的 安全 强度 。 

(2) 计算 量 小 ,处 理 速度 快 。 

虽然 在 RSA 中 可 以 通过 选取 较 小 的 公 钥 (可 以 小 到 3) 的 方法 提高 公 钥 处 理 速 度 , 即 
提高 加 密 和 签名 验证 的 速度 ,使 其 在 加 密 和 签名 验证 速度 上 与 ECC 有 可 比 性 ,但 在 私 钥 
的 处 理 速度 上 (解密 和 签名 ) J ECC 远 比 RSA,DSA 快 得 多 。 因 此 ECC 总 的 速度 比 RSA, 
DSA 要 快 得 多 。 

(3) 存储 空间 占用 小 。 

ECC 的 密 钥 尺 寸 和 系统 参数 与 RSA、DSA 相 比 要 小 得 多 ,意味 着 它 所 占 的 存储 空间 
要 小 得 多 。 这 对 于 加 密 算法 在 IC 卡 上 的 应 用 具有 特别 重要 的 意义 。 

(4) 带宽 要 求 低 。 

当 对 长 消息 进行 加 解密 时 ,三 类 密码 系统 有 相同 的 带宽 要 求 ,但 应 用 于 短 消息 时 
ECC 带宽 要 求 却 低 得 多 。 而 公 钥 加 密 系 统 多 用 于 短 消息 ,例如 用 于 数字 签名 和 用 于 对 对 
称 系统 的 会 话 密 钥 传 递 。 带 宽 要 求 低 使 ECC 在 无 线 网 络 领域 具有 广泛 的 应 用 前 景 。 

ECC 的 这 些 特点 使 它 必 将 取代 RSA ,成 为 通用 的 公 钥 加 密 算法 。 例 如 SET 协议 的 
制订 者 已 把 它 作 为 下 一 代 SET 协议 中 默认 的 公 钥 密码 算法 。 


3.3.6 实验 设备 
主流 配置 PC 一 台 ,Windows XP 操作 系统 ,自由 软件 dsCrypt\ImageMark。 
3.3.7 实验 步骤 


1. 用 dsCrypt 加 密 Word 文件 


(1) 运行 dsCrypt 软件 。 
dsCrypt 是 一 款 绿色 加 密 软 件 ,不 需要 安装 。 双 击 即 可 弹出 图 3-3-1 所 示 的 操作 
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界面 。 

(2) 设置 加 密 模式 。 

单 击 dsCrypt 操作 界面 的 Mode 菜单 ,会 改变 dsCrypt 的 操作 模式 。 

(3) 设置 密码 。 

单 击 dsCrypt 操作 界面 的 Pass 菜单 ,输入 对 文件 加 密 时 所 需要 的 密码 。 单 击 OK 完 
成 加 密 密 码 设置 ,如 图 3-3-2 所 示 。 


[Esc, Tab, Ent] 


332 ”设置 密码 


(4) 选中 保密 文件 。 
单 击 dsCrypt 操作 界面 的 Open 菜单 ,弹出 图 3-3-3 所 示 的 对 话 框 。 


z) e adm 


fo Microsoft Visual Studio 2010 
Bl photoshop cs4 
lj SQL Server Management Studio Ex 
By Visual Basic 6.0 中 文 版 
Macromedia Flash 8 gP Visual CH 6.0 
MATLAB 7.0 Bf Visual FoxPro 6.0 
Vivare Workstation 强 mrrc 
md Brene 


I 新 建文 件 夹 2) 
L I 
[dreamweaver CSS 
"Wy dscrypt 
BBasccsre 
eclipse 
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图 3-3-3 选择 文件 


在 该 对 话 框 中 选中 要 保密 的 文件 , 单 击 “ 打 开 ” 按 钮 。 
可 以 看 出 ,加 密 结果 是 一 个 扩展 名 为 “. dsc” 的 加 密 文件 。 调 用 Word 程序 打开 该 文 
件 时 ,看 到 图 3-3-4 所 示 的 结果 。 


2. 使 用 dsCrypt 解密 Word 文件 


A) 运行 dsCrypt 软件 。 
(2) 设置 解密 模式 。 
G) 设置 密码 。 
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E. Word 文件 加 富 算 法 - doc. dsc 
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3-3-4 ”打开 文件 显示 的 内 容 


单 击 Pass 菜单 ,出 现 图 3-3-5 所 示 界 面 , 在 该 对 话 框 中 输入 对 文件 解密 时 所 需要 
的 密码 。 

(4) 选中 需要 解密 的 文件 。 

单 击 dsCrypt 操作 界面 的 Open 菜单 ,在 该 对 话 
框 中 选择 需要 解密 的 密 文 文件 ,然后 单 击 “ 打 开 ” 按 
钮 ,如 图 3-3-6 所 示 。 


sphrase twice [Esc, Tab, Ent] 


图 3-3-5 输入 密码 对 话 框 


Select Files 


siamo Gas emrerg- 
7 golicrosoft Visual Studio 2010 
天 Photoshop cs4 
Ba SQL Server Management Studio Ex 
By Visual Basic 6.0 PIM 
Macromedia Flash 8 gP Visual CH 6.0 
MATLAB 7.0 BB Visual FoxPro 6.0 
Mivare Workstation 
PERET 
CORGEXPEX C) 


的 usr 二 网络 安 全 实验 报告 模板 
国 meovreeve- Bwexex o) 

"Mg dscrypt 

BB asc-sre 

EJeclipse 


B eil wisiont 


€ | 


RAS OW Wor PME HIE. doc 
XART: 


图 3-3-6 ”选择 需要 解密 文件 
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解密 完成 后 ,调用 Word 程序 打开 该 文件 时 ,可 以 看 到 显示 结果 ,如 图 3-3-7 所 示 。 


3-3-7 解密 结果 


3.3.8 实验 思考 

对 称 加 密 算法 和 非 对 称 加密 算 法 在 理论 和 应 用 上 有 哪些 区 别 。 
3.4 数据 库 系统 安全 
3.4.1 实验 类 型 

综合 型 ,4 学 时 ,课外 自选 实验 。 
3.4.2 实验 目的 

当今 世界 ,信息 化 程度 越 来 越 高 ,大 量 信息 存储 在 计算 机 的 数据 库 中 ,数据 库 的 安全 
性 十 分 重要 。 通 过 该 实验 ,使 学 生 认识 数据 库 系统 所 面临 的 安全 威胁 ,了 解数 据 库 系 统 安 
全 的 内 容 , 能 够 使 用 数据 库 安全 扫描 工具 进行 评估 与 检测 。 


3.4.3 题目 描述 


SQL 注入 攻击 ,SQL Server 2000 新 建 角 色 和 Windows 集成 身份 认证 数据 库 连 接 ， 
修改 SQL Server 内 置 存储 过 程 和 SQL 防 注入 。 
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3.4.4 实验 要 求 


理解 SQL 注入 的 原理 ,掌握 安装 SQL Server 2000 并 建立 数据 库 , 通 过 ASP 网 页 实 
I SQL 注入 的 方法 ,掌握 SQL Server 2000 角色 建立 和 权限 分 配方 法 ,掌握 SQL 注入 过 
滤 的 方法 。 


3.4.5 相关 知识 


数据 库 的 应 用 十 分 广泛 ,深入 到 各 个 领域 ,但 随 之 而 来 产生 了 数据 的 安全 问题 。 各 种 
应 用 系统 的 数据 库 中 大 量 数 据 的 安全 问题 .敏感 数据 的 防 窃取 和 防臭 改 问题 , 越 来 越 引起 
人 们 的 高 度 重 视 。 数 据 库 系统 作为 信息 的 聚集 体 ,是 计算 机 信息 系统 的 核心 部 件 ,其 安全 
性 至 关 重 要 ,关系 到 企业 兴衰 、 国 家 安全 。 因 此 ,如 何 有 效 地 保证 数据 库 系 统 的 安全 ,实现 
数据 的 保密 性 完整 性 和 有 效 性 ,已 经 成 为 业界 人 士 探索 研究 的 重要 课题 之 一 。 

COD 数据 库 系 统 的 安全 除 依赖 自身 内 部 的 安全 机 制 外 ,还 与 外 部 网 络 环境 .应 用 环 
境 、 从 业 人 员 素 质 等 因素 息息相关 ,因此 ,从 广义 上 讲 , 数 据 库 系统 的 安全 框架 可 以 划分 为 
3 个 层次 : 

(D 网 络 系统 层次 ; 

© 宿主 操作 系统 层次 ; 

C 数据 库 管理 系统 层次 。 

这 3 个 层次 构筑 成 数据 库 系 统 的 安全 体系 ,与 数据 安全 的 关系 是 逐步 紧密 的 ,防范 的 
重要 性 也 逐 层 加 强 , 从 外 到 内 、 由 表 及 里 保证 数据 的 安全 。 

(2) MS SQL 2000 Server 数据 库 常 见 的 漏洞 。 

(D sa 弱 口 令 。 

存在 Microsoft SQL Server sa 弱 口 令 漏 洞 的 计算 机 一 直 是 网 络 攻击 者 青睐 的 对 象 
之 一 ,通过 这 个 漏洞 ,可 以 轻易 地 得 到 服务 器 的 管理 权限 ,从 而 威胁 网 络 及 数据 的 安全 。 
如 SQL 综合 利用 工具 SQLTools 和 SQLEXEC, 

© SQL 注入 漏洞 。 

利用 ASP 等 脚本 的 漏洞 能 够 进行 SQL 的 注入 ,猜测 数据 库 的 内 容 。 

© 扩展 存储 过 程 利用 。 

利用 存储 过 程 xp_cmdshell 等 可 以 拥有 整个 系统 的 控制 权限 。 

@ 另 外 ,MS SQL 2000 Server 本 身 也 存在 远程 溢出 漏洞 。 

(3) MS SQL 2000 Server 的 安全 评估 。 

使 用 Microsoft 基线 安全 性 分 析 器 (MBSA) 可 以 评估 服务 器 的 安全 性 。 

MBSA 是 一 个 扫描 多 种 Microsoft 产品 的 不 安全 配置 的 工具 ,包括 SQL Server 和 
Microsoft SQL Server 2000 Desktop Engine( MSDE 2000)。 它 可 以 在 本 地 运行 ,也 可 以 
通过 网 络 运 行 。 该 工具 针对 下 面 问题 对 SQL Server 安装 进行 检测 。 

CD 过 多 的 sysadmin 固定 服务 器 角色 成 员 。 
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© 授予 sysadmin 以 外 的 其 他 角色 创建 CmdExec 作业 的 权利 。 
© 空 的 或 简单 的 密码 。 

CD 脆弱 的 身份 验证 模式 。 

C) 授予 管理 员 组 过 多 的 权利 。 

© SQL Server 数据 目录 中 不 正确 的 访问 控制 表 (ACL)。 

CD 安装 文件 中 使 用 纯 文本 的 sa 密码 。 

® 授予 guest 账户 过 多 的 权利 。 

© 在 同时 是 域 控制 器 的 系统 中 运行 SQL Server. 

O 所 有 人 (Everyone) 组 的 不 正确 配置 ,提供 对 特定 注册 表 键 的 访问 。 
@ SQL Server 服务 账户 的 不 正确 配置 。 

(2 没有 安装 必要 的 服务 包 和 安全 更 新 。 


3.4.6 实验 设备 


主流 配置 PC 一 台 ,Windows 2000 Server 操作 系统 ,MS SQL 2000 Server 数据 库 软件 。 


3.4.7 实验 步骤 


(1) 安装 SQL Server 2000 数据 库 ,SA 密码 设置 为 123456 ,过程 略 。 
(2) 安装 完成 后 打开 SQL Server 2000 企业 管理 器 ,新 建 数据 库 mydb, 如 图 3-4-1 所 示 。 


jn SQL Server Enterprise TE I] x] 


PEE 


& Q so Server t 
Ei ly USER-446846855F (Windows NT) 
日 生 数据 库 


rn 


t 


Heec 
SRE 
a 


"Án. 
* 
4 
L4 
* 


用 户 定义 的 ”用 户 定义 的 。 全 文 目录 
数据 类 型 函数 


到 


由 
a 
a 
a 
a 
由 
m 
a 
a 
a 
e 


TE 


图 3-4-1 新 建 数据 库 mydb 
(3) 在 mydb 数据 库 新 建 表 mytable, 包 括 id、name 和 tel 3 个 字段 。 各 字段 的 类 型 及 


属性 如 图 3-4-2 所 示 。 其 中 id 字段 作为 主键 和 标识 。 
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(4) 在 mytable 表 中 增加 两 条 记录 ,如 图 3-4-3 所 示 。 
(5) 在 C 盘 新 建 目录 sqltest, 并 在 该 目录 下 新 建 如 下 3 份 ASP 文 件 。 
文件 1: conn. asp 


Ta SQL Server Enterprise Manager - [2: mydb"tP ( ZE'USER-44884BB55F E D MISE] 


table "PHRI » LL “mydb"P. “USER-44884B8.. M = E7 


FA 3-4-3 在 mytable 表 中 增加 两 条 记录 


<% 

set Conn- Server.CreateObject ("ADODB.Connectiion") 

Conn.Open "driver- SQL Server;server- 127.0.0.1;uid- sa;pwd- 123456;database- mydb;" 
$> 


X fF 2: index. asp 


<!--# include file- "oonn.asp"- -> 

<% 

set rs- server.createdbject ("adodb. recordset") 

sql="select * from mytable" 

rs.cpen sql,conn,1,1 

$> 

< table width= "100%" border= "0" cellspacing- "0" œllpadding= "0"> 

« &do while not rs.eof$» « tr» 

«td» «a href= "showid.asp? id- « $= rs ("id") $» ">< $= rs ("name") $» « /a> < /td> 
</t> 
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</table> 


文件 3: showid. asp 


<!--#include file- "conn.asp"- -> 

<% 

set rs- server.createcbject ("adodb. recordset") 

sql= "select * from mytable where id= "&reqæst.querystring ("id") 
rs.cpen sql,conn,1,1 

$> 

«htm 

<head> 

«title» JC bi Bl 3C < /title> 

<meta http- equiv= "Content- Type" content= "text/html; charset- go?312"> 
< /head> 

<body bgcolor= "#FFFFFF" text= "#000000"> 

< table width= "100%" border= "0" cellspacing- "0" cellpadding= "0"> 
<% 

do while not rs.eof 

%><tr> 

«td» « %= rs ("name") $5 « /td> 

«td» « $- rs("tel")$» « /td> 

</t> 


(6) 打开 IIS 服务 器 ,将 sqltest 文件 夹 作为 默认 目录 。 
(7) 在 浏览 器 打开 Web 页 面 。 效 果 如 图 3-4-4 所 示 。 


T http://127.0.0.1/index.asp - Microsoft Internet Explorer 

| 文件 E) dA) SEV 收藏 W TAD WB) 

| emB-5-Q)d|Qsk atm oe Bo 
JERO fE) hetp://127.0.0.1ndex.asp 


图 3-4-4 浏览 器 效果 
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(8) 单 击 第 一 条 记录 ,效果 如 图 3-4-5 所 示 。 


PEt -Microsoft Internet Explorer 


+-@ AA E 


[&] http:1/127.0.0. 1/showid.asp?id=1 


alice 111111 


图 3-4-5 浏览 器 效果 
(9) 在 地 址 栏 中 输入 图 3-4-6 所 示 的 内 容 。 


F AAS - Microsoft Internet Explorer 


111111 


3-4-6 ”注入 攻击 


Q0) 执行 结果 如 图 3-4-7 所 示 o 


避 无 标题 文档 - Microsoft Internet Explorer 


111111 


图 3-4-7 攻击 结果 


OD 然后 查看 系统 用 户 , 可 以 发 现 已 经 新 出 现 一 个 账户 test, 如 图 3-4-8 所 示 。 同 样 
的 方法 也 可 以 把 该 账号 设置 为 administrator 权限 。 从 以 上 过 程 可 以 看 到 ,通过 利用 ASP 
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脚本 的 注入 漏洞 和 SQL Server 的 不 安全 配置 ,能 够 获得 系统 的 权限 。 


以 清除 注入 漏洞 并 加 固 数据 库 系 统 。 


9^ CA\WINNT\system32\cmd.exe 


IUSR_USER-44B84 
TsInternetUser 


图 3-4-8 用 户 账户 结果 


(12) 安装 最 新 的 服务 包 。 


ATE 
Pack 4(SP4) 


SRZ BE 4E ARE. Rot C — TE 
。 男 外 ,还 应 该 安装 所 有 已 发 布 的 安全 更 新 . 


(13) 隔离 服务 器 ,并 定期 备份 。 


物理 和 逻辑 上 的 隔离 组 成 了 SQL Server 安全 性 的 基础 。 驻 留 数据 库 的 机 器 应 该 处 
于 一 个 从 物理 形式 上 受到 保护 的 地 方 ,最 好 是 一 个 上 锁 的 机 房 ,配备 有 洪水 检测 以 及 火灾 
装 在 企业 内 部 网 的 安全 区 域 中 ,不 要 直接 连接 到 


今 测 的 消防 
Internet。 定 
(14) 分 


sa 账户 应 该 总 拥有 一 个 强健 的 密码 ,即使 在 配置 为 要 求 Windows 身份 验证 的 服务 


器 上 也 该 如 此 。 这 将 保证 在 以 后 服务 器 被 重新 配置 为 混合 模式 身份 验证 时 ,不 会 出 现 空 


白 或 脆弱 的 
(D 展开 
@ 展开 
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系统 。 数 据 库 应 该 安 
期 备份 所 有 数据 ,并 将 副本 保存 在 安全 的 站 点 外 地 点 ， 
配 一 个 强健 的 sa 密码 


sa。 要 分 配 sa 密码 , 按 下 列 步骤 操作 。 


服务 器 组 ,然后 展开 服务 器 。 
安全 性 ,然后 单 击 登录 ,如 图 3-4-9 所 示 。 


"jn SQL Server Enterprise Manager - [#5444 i A #\Microsoft SQL Servers\SQL Server d -joj 到 | 
ed 


| 网 SEES) OSS Server Enterprise Manager - [控制 台 根 目录 IMecrosoft SQL Servers\5QL Server 组 WJSER-446846E 
[swf sv rao |e >am eRe E) 
树 | [SR z 个 项 目 
|a 控制 台 根 目录 
EB Microsoft SQL Servers 
E 501 severi 
E ly UsER-44584BSSF (Windows NT) 
a 数 据 库 


类 型 服务 器 访问 
SB eun TINAdministrators WindowsiH AT 
isa 标准 许可 


eC] 数据 转换 服务 
ec 管理 
oO 复制 
SQ 安全 性 
Hes 
S5 服务 器 角色 zl 


图 3-4-9 修改 密码 


必须 采取 相应 措施 


就 是 升级 到 SQL Server 2000 Service 


C 在 细节 窗 格 中 , 右 击 sa, 然 后 单 击 属性 。 

© 在 密码 方 框 中 ,输入 新 的 密码 。 

(15) 加 强 数据 库 日 志 的 记录 。 

审核 数据 库 登 录 事件 的 “失败 和 成 功 "。 在 实例 属性 中 选择 “安全 性 ”, 将 其 中 的 审核 
级 别 选 定 为 全 部 ,这 样 在 数据 库 系统 和 操作 系统 日 志 里 面 就 详细 记录 了 所 有 账号 的 登录 
事件 。 定 期 查看 SQL Server 日 志 检查 是 否 有 可 疑 的 登录 事件 发 生 。 

(16) SQL Server 的 默认 安装 将 监视 TCP 端口 1433 以 及 UDP 端口 1434。 配 置 的 
防火 墙 来 过 滤 掉 到 达 这 些 端口 的 数据 包 。 

(17) 使 用 Windows 身份 验证 方式 ,为 数据 库 增加 IUSR 用 户 。 

与 SQL Server 身份 验证 方式 相 比 ,Windows 身份 验证 方式 具有 下 列 优 点 : 提供 了 更 
多 的 功能 ,例如 安全 确认 和 口令 加 密 、 审 核 .口令 失效 、 最 小 口令 长 度 和 账号 锁定 ;通过 增 
加 单个 登录 账号 ,允许 在 SQL Server 系统 中 增加 用 户 组 ;允许 用 户 迅 速 访问 SQL Server 
系统 ,而 不 必 使 用 另 一 个 登录 账号 和 口令 。SQL Server 使 用 IUSR 用 户 访 问 数据 库 。 

展开 服务 器 组 ,然后 展开 服务 器 。 展 开 安全 性 子 项 ,然后 右 击 “登录 ”, 并 单 击 “ 新 建 登 
录 ”。 在 “名 称 ” 选 择 IUSR 账户 ,数据库 选 择 mydb, 如 图 3-4-10 所 示 。 


SQL Server FREH- SPER 
一 一 一 


[usSER-448848655FVJUSR_USEF [ren] 


|USER-44B84BB55F 


图 3-4-10 新建 登 录 


然后 单 击 “ 数 据 库 访 问 ” 选 项 卡 , 按 图 3-4-11 所 示 修 改 , 并 单 击 “ 确 定 ”, 完 成 数据 库 访 
问 账户 的 添加 。 

(18) 新 建 角 色 。 通 过 新 建 和 角色 创建 自己 的 权限 ,使 数据 库 的 用 户 拥 有 合适 的 权限 。 
避免 SYSADMIN 和 db. owner 的 权限 过 大 引起 安全 问题 。 

展开 “数据 库 ” 文 件 夹 , 然 后 展开 mydb 数据 库 。 右 击 “ 角 色 ”, 然 后 单 击 “ 新 建 数据 库 
角色 ”命令 。 在 “名 称 ” 框 中 输入 新 角色 的 名 称 newjiaose。 单 击 “ 添 加 ”将 成 员 IUSR 添加 
到 “标准 角色 ”列表 中 ,并 单 击 确定 完成 角色 的 添加 ,如 图 3-4-12 所 示 。 
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口 口 图 口 口 口 


数据 库 角 色 尾 性 一 新 建 角色 


图 3-4-12 新 建 角色 并 添加 角色 的 用 户 


(19) 重新 打开 newjiaose 的 属性 ,并 单 击 “ 权 限 ”, 在 mytable 一 行将 SELECT, 
INSERT、UPDATE 和 DELETE 权限 选中 ,并 单 击 “ 确 定 ”, 新 建 角 色 创 建 完成 ,如 图 3-4-13 
所 示 。 

(20) 在 mydb 数据 库 文件 夹 的 用 户 中 打开 IUSR 的 属性 ,选中 newjiaose, 并 确定 , 赋 
F IUSR 用 户 以 newjiaose 权限 ,如 图 3-4-14 所 示 。 
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图 3-4-14 设置 IUSR 的 数据 库 角 色 


(21) 修改 conn. asp 文件 为 以 下 内 容 。 


<% 

set Conn- Server.Createdbject ("ADOLB.Connection") 

Conn.Open "provider- sqloledb; server- 127.0.0.1; database=mydb; integrated security- sspi" 

$> 

(22) 重新 打开 默认 主页 ,发现 可 以 正确 显示 ,使 用 SQL 注入 攻击 添加 账户 ,发 现 已 
经 不 能 实现 。 

(23) 修改 SQL Server 内 置 存储 过 程 。 

SQL Server 内 置 了 一 批 危险 的 存储 过 程 。 可 以 读 到 注册 表 信 息 、 写 入 注册 表 信息 、 
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执行 命令 和 读 磁 盘 共 享 信息 等 。 
和 危险 的 内 置 存储 过 程 有 : 


XP amishell 


xp regremovemultistring 

xp regwriteActiveX 自动 脚本 : sp Ohcreate 
sp OADestroy 

sp OWMethod 

sp QOMetProperty 

sp_OASetProperty 

sp_OAGetErrorInfo 

Sp_QAStop 


以 上 各 项 全 在 封杀 之 列 , 例 如 xp_cmdshell 屏蔽 的 方法 为 : sp_dropextendedproc'xp_ 
cmdshell', 如 果 需 要 的 话 ,再 用 sp_addextendedproc xp_cmdshell',xpsql70. dl 进行 恢复 。 如 果 
不 知道 xp_cmdshell 使 用 的 是 哪个 . dll 文件 的 话 , 可 以 使 用 sp_helpextendedproc xp_cmdshell 
来 查看 xp_cmdshell 使 用 的 是 哪个 动态 连接 库 。 另 外 ,将 xp_cmdshell 屏蔽 后 ,还 需要 做 的 步 
又 是 将 xpsql70. dll 文件 进行 改名 ,以 防止 获得 sa 的 攻击 者 将 它 进行 恢复 。 

(24) 修改 脚本 防止 SQL 注入 。 

CD 新 建文 件 noinject. asp, 自 定义 两 个 asp 函数 ReqNum 和 ReqStr 进行 url 输入 过 
滤 , 防 止 SQL 注入 。 


<% 

Function ReqNum(StrName) 

Redne Request (StrName) 

if Not isNumeric (ReqNum) then 
Response.Write" 参 数 必 须 为 数字 型 !" 
Response.End 

Endif 

End Function 


Function RegStr (StrName) 

RegStr= Replace (Request (StrName) ,""",""'") 

End Function 

$> 

@ 将 showid. asp 文件 作出 如 下 修改 以 调用 过 滤 函 数 。 
文件 3: showid. asp 


<!--#include file- "oonn.asp"- -> 
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< !-- #incluce file- "noinject.asp"- -> 

<% 

set rs- server.createcbject ("adodb. recordset") 

sql ="select * from mytable where id- "& Regum ("id") 
rs.open sql,conn,1,1 

$> 


其 后 内 容 不 变 。 
© 再 次 进行 注入 攻击 ,结果 如 图 3-4-15 所 示 ,可 见 注入 攻击 失败 。 


ET To 


| 地 址 (0) E id=1;exec%%20master.dbo.xp_cmdshel%20'net%20user %20test%20test20/add E] co sil || ii >| 
参数 必须 为 数字 型 ! 


3-4-15 SQL 防 注入 效果 


3.4.8 实验 思考 
数据 库 的 安全 性 与 操作 系统 的 安全 性 有 没有 关系 。 
3.5 网 络 安全 通信 
3.5.1 实验 类 型 
综合 型 ,4 学 时 , 必 选 实验 。 
3.5.2 实验 目的 


通信 安全 是 网 络 安全 的 重要 内 容 之 一 。 通 过 实验 ,使 学 生 认识 安全 通信 的 必要 性 ,了 
解 常用 的 安全 协议 ,掌握 常用 的 网 络 安全 通信 实现 方法 。 


3.5.3 题目 描述 


使 用 Windows 2000 Server 操作 系统 建立 VPN 和 IPSec 安全 通信 。 
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3.5.4 实验 要 求 


能 够 在 Windows 2000 Server 上 建立 VPN 服务 器 并 正确 设置 其 参数 ,建立 VPN 客 
户 端 连接 到 VPN 服务 器 ,实现 远程 访问 局 域 网 ,能 够 使 用 IPSec 实现 安全 通信 。 


3.5.5 相关 知识 


COD. 众所周知 ,Internet 充满 着 威胁 ,普通 方式 的 邮件 传递 ,浏览 网 页 等 都 可 能 被 嗅 探 
工具 捕获 造成 损失 。 使 用 虚拟 专用 网 络 (VPN) ,移动 职员 和 上 班 较 远 的 人 员 可 以 通过 
Internet 安全 地 访问 他 们 公司 的 局 域 网 (LAN)。 按 微软 的 定义 ,虚拟 专用 网 (Virtual 
Private Network,VPN) 涵 盖 了 跨 共享 网 络 或 公共 网 络 的 封装 、 加 密 和 身份 验证 链接 的 专 
用 网 络 的 扩展 。VPN 连接 可 以 通过 Internet 提供 远程 访问 和 到 专用 网 络 的 路 由 选择 
连接 。 

通过 建立 的 VPN 连接 ,使 用 自动 安装 在 计算 机 上 的 点 对 点 隧道 协议 (PPTP) 或 第 二 
层 隧道 协议 (L2TP) ,就 可 以 经 由 Internet 或 其 他 网 络 连接 到 Windows 2000 远程 访问 服 
务 器 ( 即 VPN 服务 器 ) 来 安全 地 访问 网 络 资源 。 

图 3-5-1 所 示 为 用 户主 机 直接 连接 到 Internet, 并 通过 Internet 连接 到 远程 访问 服务 
器 。 为 使 Internet 上 的 主机 能 够 访问 到 VPN 服务 器 ( 即 远程 访问 服务 器 ),VPN 服务 器 
必须 拥有 一 个 公有 IP 地 址 。VPN 服务 器 一 般 具 有 双 网 卡 , 分 别 连接 到 Internet 和 内 部 
网 络 。 


Internet 


VPN 隧 道 或 专用 网 络 


使 用 PPTP 或 7 » 
E Poem 使 用 IP、IPX 或 
= 访问 服务 器 AppleTalk 的 LAN 


图 3-5-1 用 户 直接 连接 到 Internet 并 建立 VPN 连接 


使 用 VPN 的 优点 如 下 。 

CD 降低 费用 : 通过 Internet 访问 比 采用 长 途 电话 的 方式 更 能 节省 费用 。 

© 较 强 的 安全 性 : 远程 访问 服务 器 强制 执行 身份 验证 和 加 密 协 议 ,通过 VPN 进行 
的 Internet 连接 是 加 密 的 和 安全 的 。 

O 网 络 协议 支持 : 由 于 支持 最 常用 的 网 络 协 议 ( 包 括 TCP/IP、IPX 和 NetBEUD , 因 
此 可 以 远程 运行 任何 依赖 于 这 些 特 殊 网 络 协议 的 应 用 程序 。 

@ IP 地 址 安全 : 因为 VPN 是 加 密 的 ,所 以 远程 访问 服务 器 分 配 的 VPN 连接 的 内 部 
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地 址 不 能 被 Internet Ef JH P SI, Internet 上 的 用 户 仅 能 看 到 远程 访问 服务 器 的 外 部 
IP 地 址 。 

如 果 有 Winsock 代理 客户 在 活动 , 则 不 能 创建 VPN。 因 为 还 没 等 数据 以 VPN 要 求 
的 方式 被 处 理 , Winsock 代理 客户 就 已 经 将 数据 重 定向 到 了 已 配置 好 的 代理 服务 器 上 。 
因此 要 建立 VPN ,首先 应 该 禁用 Winsock 代理 客户 。 

(2) IPSec 简介 。 

IPSec 实际 上 是 一 套 协 议 包 而 不 是 单个 的 协议 ,IPSec 是 在 IP 网 络 上 保证 安全 通信 
的 开放 标准 框架 , 它 在 IP 层 提供 数据 源 验证 ,数据 完整 性 和 数据 保密 性 。 其 中 比较 重要 
的 有 RFC2409 IKE (Internet Key Exchange) 互 联网 密 钥 交换 、RFC2401 IPSec 协议 、 
RFC2402 AH CAuthentication Header) 4% iE £u 3k 4l RFC2406 ESP ( Encapsulating 
Security Payload) 加 密 数据 等 协议 。IPSec 独立 于 密码 学 算法 ,这 使 得 不 同 的 用 户 群 可 以 
选择 不 同 的 安全 算法 。 

IPSec 主要 由 AH( 认 证 头 ) 协 议 ,ESP( 封 装 安全 载荷 ) 协 议 以 及 负责 密 钥 管 理 的 IKE 
(因特网 密 钥 交 换 ) 协 议 组 成 。AH 为 IP 数据 包 提供 无 连接 的 数据 完整 性 和 数据 源 身份 
认证 。 数 据 完整 性 通过 消息 认证 码 ( 如 MD5、SHA1) 产 生 的 校 验 值 来 保证 ,数据 源 身份 认 
证 通过 在 待 认证 的 数据 中 加 入 一 个 共享 密 钥 来 实现 。ESP 为 IP 数据 包 提供 数据 的 保密 
性 (通过 加 密 机 制 ) .无 连接 的 数据 完整 性 、 数 据 源 身份 认证 以 及 防 重 防 攻击 保护 。AH 和 
ESP 可 以 单独 使 用 ,也 可 以 配合 使 用 ,通过 组 合 可 以 配置 多 种 灵活 的 安全 机 制 。 密 钥 管 
理 包括 IKE 协议 和 安全 联盟 SA (Security Association) 等 部 分 。IKE 在 通信 双方 之 间 建 
立 安全 联盟 ,提供 密 钥 确定 、 密 钥 管理 机 制 , 是 一 个 产生 和 交换 密 钥 材料 并 协商 IPSec 参 
数 的 框架 。IKE 将 密 钥 协商 的 结果 保留 在 SA 中 , 供 AH 和 ESP 通信 时 使 用 。 

IPSec 工作 模式 支持 传输 模式 和 隧道 模式 ,在 公共 IP 网 上 建立 私有 IP 地 址 的 VPN 
就 只 能 使 用 隧道 模式 了 。 


3.5.6 实验 设备 
主流 配置 PC 一 台 ,Windows 2000 Server 操作 系统 ,网络 环境 。 


3.5.7 实验 步骤 


1, 建立 实验 环境 


(1) 禁用 实验 主机 防火 墙 。 

(2) 实验 主机 IP 配置 。 

在 本 实验 中 ,实验 主机 配置 了 两 个 网 卡 ,分 别 是 “本 地 连接 "和 “本 地 连接 2”。 现 在 分 
别 对 这 两 块 网 卡 进行 配置 (在 本 实验 中 主机 采用 的 是 Windows 7 系统 ,可 能 配置 过 程 和 
显示 界面 与 XP 不 同 )。 

CD 对 本 地 连接 进行 配置 : 右 击 “本 地 连接 ”, 在 “网 络 ” 选 项 卡 中 双击 “Internet 协议 版 
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本 4(TCP/IPv4)”, 在 弹出 的 对 话 框 中 将 “IP 地 址 ?设置 为 "192. 168. 1. 10” 将 “ 子 网 掩 码 ” 


设置 为 “255. 255. 255. 0”, 将 “网 关 ” 设 置 为 “192. 168. 1. 254”, 将 “DNS 服务 器 ”设置 为 
“61. 155. 18. 30”, 如 图 3-5-2 所 示 o 


O 自动 获得 P 地 址 0) 
图 使 用 下 面 的 IF 地 址 G) 
Microsoft TP 地 址 0) 
A Bare Bri 
os sie FARBU 
Microsoft BUR ©) 


自动 获得 DRS 服务 器 地 址 C) 
© 使 用 下 面 的 DNS 服务 器 地 址 CO 
首选 DIS RESE) 60 .155 .18 . 30) 
备用 DNS ARE A) t 3 


AAAS m c) 


图 3-5-2 实验 主机 “本 地 连接 ”网 卡 (TCP/IPv4) 属 性 配置 


© 如 果 “ 本 地 连接 2? 没 有 激活 , 则 需要 先 激活 该 网 络 接口 。 
© 对 “本 地 连接 2 进行 配置 : 右 击 “本 地 连接 2”, 在 “网 络 ? 选 项 卡 中 双击 “Internet 


协议 版 本 4(TCP/IPv4)”, 在 弹出 的 对 话 框 中 将 *IP 地 址 ?设置 为 "192. 168. 3. 10”, 将 “ 子 
网 掩 码 ” 设 置 为 “255. 255. 255. 0”, 如 图 3-5-3 所 示 。 


© BHRIS IP 地 址 加) 

图 使 用 下 面 的 IP 地 址 G) 

IP MEC: 192 .168 . 3 . 10 
FH QD 255 .255 .255 . 0 
BURA ©) 


D 自动 获得 DNS 服务 器 地 址 B) 
© 使 用 下 面 的 DNS 服务 器 地 址 E) 
首选 DS RESP) 


备用 DNS 服务 器 A) 


国运 出 时 验证 设置 O) 


图 3-5-3 实验 主机 “本 地 连接 2 网 卡 (TCP/IPv4) 属 性 配置 
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(3) 虚拟 网 络 设置 。 


(D 打开 VMware Workstation 软件 , 单 击 “ 编 辑 ” 菜 单 ,在 下 拉 列 表 中 选择 “虚拟 网 络 


编辑 器 ”选项 。 


© 在 弹出 的 对 话 框 中 单 击 “ 添 加 网 络 ” 按 钮 ,选择 VMnet2, 并 将 其 桥接 到 主机 网 卡 为 


本 地 连接 的 网 络 适配器 ( 即 Marvell Yukon 88E8059 Family PCI-E Gigabit Ethernet 


Controller) 。 


© 再 按 同 样 的 方法 添加 VMnet3 的 网 络 ,将 其 桥接 到 主机 网 卡 为 本 地 连接 2 的 网 络 


适配器 ,如 图 3-5-4 所 示 。 


192.168.44.0 
192.168.46.0 


VMnet 信息 


图 桥接 (BX 虚拟 机 直接 连接 到 外 部 网 络 ) 


inco : BEER CU)... 


© NAT (虚拟 机 使 用 已 共享 的 主机 瑟 地 址 ) 
© Host-only (连接 虚拟 机 到 一 个 私有 网络) 


(4) 虚拟 机 网 配置 。 


3-5-4 更改 桥 接 模式 


NAT 设置 (5)… 


CD 启动 虚拟 机 ,在 该 选项 卡 中 选择 “编辑 虚拟 机 设置 "选项 ,如 图 3-5-5 所 示 。 


[i ie X] & windows Server 2003 ent- x |) 


É Windows Server 2003 Enterprise Edition 
Ln ous d 
Ep matins 
Gg Tr 
了 设备 
SAF 384 MB 
辐 处 理 器 1 
局 硬盘 (scsi) 20GB 
&jcp/DvD (0E) Bae 
Basse EEN (VMnet2) 
GamE — 自 定义 VMnet3) 
Buss se 存在 
Or 自动 检测 
Wiz 自动 检测 
图 3-5-5 Windows Server 2003 的 启动 界面 


© 在 弹出 的 对 话 框 中 单 击 “ 添 加 ”按钮 ,在 “添加 硬件 向 导 ” 中 选择 “网 络 适配器 ” 选 
项 , 单 击 “ 下 一 步 " 按 钮 , 青 单 击 “ 完 成 "按钮 ,如 图 3-5-6 所 示 。 


添加 硬件 向 导 Lz J 


硬件 类 型 
你 想 要 安装 什么 类 型 的 硬件 ? 


硬件 类 型 : 说 明 
mun 添加 一 个 硬盘 
名 CD/DVD 驱动 器 


图 通用 SCSI 设 备 


( «£—50) | (im 取消 


图 3-5-6 ”添加 网 络 适配器 


© 将 网 络 适配器 的 连接 类 型 设置 为 * 自 定义 ”, 选 择 VMnet2 的 桥接 模式 ,如 图 3-5-7 
所 示 。 同 理 , 将 网 络 适配器 2 的 连接 类 型 设置 为 “VMnet3( 桥 接 )”, 如 图 3-5-8 所 示 。 


设备 摘要 设备 状态 

mant 384 MB 贺 已 连接 (C) 

Ges 1 国 打开 电源 时 连接 (O) 

CA (scsi) 20 GB 

€) CD/DVD (IDE) 自动 检测 网 络 连接 

z 日 桥接 : 直接 连接 到 物理 网 络 (B) 

" fein 

USB 控制 器 存在 复制 物理 了 网络 连接 状态 (P) 
ont Sinem © NAT: 使用 已 共享 的 主机 P 地 址 (N) 
LII 自动 检测 


© Host-only: 与 主机 共享 一 个 私有 网 络 (H) 
O BEX: 指定 的 虚拟 网 络 


图 3-5-7 更 改 网 络 适配器 的 连接 模式 


(5) 虚拟 主机 网 卡 TCP/IP 属性 的 配置 。 
CD 启动 Windows Server 2003 虚拟 机 。 
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e dades 
384 MB j 已 连接 (C) 
1 打开 电源 时 连接 (0) 
20 GB 
自动 检测 网 络 连 接 
BEX (VMnet2) OTi: 直接 连接 到 物理 网 络 (B) 
自 定义 (VMnet0) 口 复制 物理 阿 络 连接 状态 (P) 
aimem © NAT: 使 用 已 共享 的 主机 IP 地 址 (N) 
自动 检测 © Host-only: 与 主机 共享 一 个 私有 网 络 (H) 
€ BEX: 指定 的 虚拟 网 络 
(viinet (R. | 
© 虚拟 网 络 ; 
[as | [BR | 


图 3-5-8 更 改 网 络 适配器 2 的 连接 模式 


© 对 本 地 连接 虚拟 机 网 卡 的 TCP/IP 属性 进行 设置 ,将 IP 地 址 ?设置 为 "192. 168. 
1.110”, 将 “ 子 网 掩 码 ” 设 置 为 “255. 255. 255. 0” 将 “网 关 ” 设 置 为 “192. 168. 1. 254”, 如 
图 3-5-9 所 示 。 


rnet 协议 (TCP/IP) 1:3 


3-5-9 ”虚拟 主机 本 地 连接 的 网 卡 的 TCP/IP 属性 配置 


O 对 本 地 连接 2 进行 配置 : 将 “IP 地 址 ?设置 为 "192. 168. 2.110”, 将 “ 子 网 掩 码 ” 设 
置 为 “255. 255. 255. 0”, 如 图 3-5-10 所 示 。 
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Internet 协议 (TCP/IP) Ett 


图 3-5-10 虚拟 主机 本 地 连接 2 的 网 卡 的 TCP/IP 属性 配置 


2. 在 Windows 2003 Server 平台 下 构建 PPTP VPN 服务 器 


CD 打开 路 由 和 远程 访问 。 
在 Windows 2003 Server 虚拟 服务 器 中 依次 选择 “开始 ”一 “程序 ”一 “管理 工具 ”一 
“路 由 和 远程 访问 ”, 打 开 “ 路 由 和 远程 访问 ”的 控制 台 , 如 图 3-5-11 所 示 。 
路 由 和 运程 访问 sinl xl 


CI c--—ÀÀ— —— 4 
和 远程 访问 3 


程 访问 ， 在 “操作 ”菜单 上 单 击 “ 配 置 并 启用 路 由 


远程 访问 ， 部 署 方案 ， 以 及 疑难 解答 的 更 多 信息 , 


3-5-11 打开 “路 由 和 远程 访问 ” 


(2) 配置 路 由 和 远程 访问 服务 器 。 

右 击 服务 器 名 ,选择 "配置 并 启用 路 由 和 远程 访问 ?选项 ,配置 过 程 如 图 3-5-12 至 
3-5-17 所 示 。 

最 后 单 击 “ 下 一 步 ” 按 钮 , 青 单 击 “ 完 成 ”按钮 即 可 。 
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“远程 访问 ”对 话 框 


YPE 连接 
Jtt vr 客户 篇 连接 到 此 服务 器 ， 至少 要 有 一 个 网 络 接口 连接 到 


“VPN 连接 ”对 话 框 
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192.188.2.210 


192. 168.2.211 


图 3-5-16 “地 址 范围 指定 ”对 话 框 


图 3-5-17 


“管理 多 个 远程 访问 服务 器 ”对 话 框 


3. 配置 Windows PPTP VPN 服务 器 


COD 修改 身份 认证 配置 。 
O 左 击 安装 好 的 服务 器 名 (因为 之 前 的 名 字 有 点 长 ,现在 改 为 NB74110) ,在 “安全 ” 
标签 中 将 “身份 验证 提供 程序 :” 改 为 “Windows 身份 验证 ”, 如 图 3-5-18 所 示 。 


图 3-5-18 VPN 服务 器 身份 验证 方式 配置 


Q 右 击 “端口 ,选择 “属性 ?选项 ,在 “端口 属性 ”对 话 框 中 选择 “WAN 微型 端口 
(PPTP)”, 如 图 3-5-19 所 示 o 


图 3-5-19 PPTP VPN 端口 配置 


(2) VPN 用 户 配置 。 
(D 创建 VPN HP. 
右 击 “我 的 电脑 ”, 依 次 选择 “管理 ”~* 本 地 用 户 和 组 ”, 右 击 * 用 户 ”, 选 择 * 新 用 户 ” 选 


51 


项 ,在 弹出 的 对 话 框 中 输入 新 建 的 用 户 名 和 密码 (kings/abc) ,最 后 单 击 “创建 "按钮 完成 ， 
如 图 3-5-20 所 示 。 


图 3-5-20 ”创建 VPN 用 户 


@ 设置 VPN 用 户 访问 权限 。 
Hiiti kings HP ,选择 “ 拨 入 ”标签 页 ,将 “远程 访问 权限 ( 拨 入 或 VPN)” 设 为 “允许 访 
问 ”, 如 图 3-5-21 所 示 。 


管理 计算 机 MAKE 
供 来 宾 访 问 计算 机 或 访问 域 的 内 


3-5-21 用 户 属性 设置 
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@ 配置 远程 访问 策略 。 

fidi VPN 服务 器 “远程 访问 策略 ”项 中 “到 Microsoft 路 由 选择 和 远程 访问 服务 器 的 
连接 策略 ”, 在 弹出 的 属性 对 话 框 中 选择 “授予 远程 访问 权限 " 单 选项 ,然后 单 击 “ 编 辑 配 置 
文件 ”按钮 ,如 图 3-5-22 所 示 。 对 客户 端的 VPN 拨 入 连接 时 间 、 客 户 端的 IP 地 址 分 配 、 
客户 端 身份 验证 方式 和 VPN 的 加 密 通 信 方 式 分 别 进行 如 图 3-5-23 所 示 的 配置 。 


3-5-23 ”远程 访问 策略 配置 文件 属性 
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《网 络 安全 综合 实践 教程 》 


4. 建立 和 配置 VPN 客户 端 


在 主机 的 “控制 面板 ”中 依次 选择 “网 络 和 Internet” 一 “网 络 和 共享 中 心 ”, 出 现 如 
图 3-5-24 所 示 的 对 话 框 。 


SERA L—— zermen 
Bes KENT wangheng Intemet 
SRR 上 计算 机 
Ed menre 
€ ABER: ema 
=n mmo ie 
Ld 


de ee 

RETA "Nw. DG. Maria VPN 连接 ; MES, 
E eee 

ERRUER WHE SN VPN AMER, 
i 
[id 

IDEIUBRUMSHR TRIIAS, 


3-5-24 ”网 络 连接 


单 击 “ 设 置 新 的 连接 或 网 络 ”, 弹 出 如 图 3-5-25 所 示 的 对 话 框 ,选择 “连接 到 工作 区 ”。 


" 选择 一 个 连接 选项 


连接 到 Internet 
设置 无 线 、 宽 再 或 拨号 连接 ,连接 到 Internet, 


设置 新 网 络 
«em, 配置 新 的 禾 帕 话 或 访问 点 。 


G chases 
使 用 拨号 连接 连接 到 Internet, 


[Eme )( mu 


图 3-5-25 选择 连接 选项 
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所 示 。 


单 击 “ 下 一 步 ” 按 钮 ,弹出 如 图 3-5-27 所 示 的 对 话 框 ,输入 Internet 地 址 和 目标 名 称 ， 


您 想 如 何 连 接 ? 


> 使 用 我 的 Internet 连接 (VPN)(D 
通过 Internet 使 用 虚拟 专用 网 络 (VPN) 来 连接 


A @ D 


> 直接 拨号 (D) 
不 十 过 Internet 直 接 使 用 电话 号 码 来 连接 。 


A D 


HAS VPN 连接 ? 


3-5-26 ”连接 到 工作 区 的 连接 


然后 单 击 “ 下 一 步 "按钮 , 单 击 “完成 "按钮 , 即 完成 VPN 客户 端的 建立 。 


键入 要 连接 的 Internet 地 址 


" 
4 
EO memmmcmeucen. 


Internet 3&5 (D: 192.168.1.110 
目标 名 称 (E): 'PPPTP-VPN-SERVER 
使 用 智能 卡 (S) 


È T 允许 其 他 人 使 用 此 连接 (A) 
这 个 选项 允许 可 以 访问 这 台 计算 机 的 人 使 用 此 连接 . 
国 现在 不 连接 ; 仅 进 行 设置 以 便 笛 后 连接 (D) 


C20) [8 


图 3-5-27 输入 要 连接 的 Internet 地 址 


在 “连接 到 工作 区 ”对 话 框 中 选择 “使 用 我 的 Internet 连接 (VPN)”, 如 图 3-5-26 


《网 络 安全 综合 实践 教程 》 


5. VPN 运用 和 测试 


CD 打开 “控制 面板 ”, 选 择 “ 网 络 和 Internet”-* 网 络 连接 ”, 双 击 新 建立 的 PPPTP- 
VPN-SERVER 客户 端 ,如 图 3-5-28 所 示 。 


(Tj) PPPTP-VEN-SERVER 国 vers Network Adapter M wo VMware Network Adapter ["] iem 
i] Barrie KE yy wangheng 
WAN Miripor (KEv2) P Fe SP! kirsa < Marvell Yukon 8868039 Family. 


Wi mme gy Tamme 
LU T a Bies KE sa 
"EF ers on Ethernet Adap.. “ÈP WAN Miniport (PPPOE) «ll Broadcom 202110 FREER 


3-5-28 ”打开 网 络 连接 


打开 如 图 3-5-29 所 示 的 客户 端 ,输入 VPN 用 户 名 、 密 码 信息 。 单 击 “ 连 接 ” 按 钮 。 如 
果 输 入 的 用 户 名 、 密 码 是 “身份 验证 配置 "中 设置 的 用 户 名 、 密 码 (kings/abc) ,那么 
Windows 7 客户 将 成 功 连 上 ,如 图 3-5-30 所 示 。 


当前 连接 到 : 
TS Rene i 
F Internet 访问 
[© sete pporp-voen-senver [E PPPTP-VPN-SERVER 
LF-— mc —r— 00 0 无 网 络 访问 
$8540 VPN 
| PPPTP-VPN-SERVER 
ZEEE 
FAR): kings 无 线 网 络 连接 
Ser. ee 99» 9— wangheng 
Loh il TP-LINK 889B1A 
为 下 面 用 户 保存 用 户 名 和 密码 G) Tenda 119240 
OREM 
Be 任何 使 用 此 计算 机 的 人 [^] 
ERO) 取消 ”] (Eto) [ 帮助 0 ] hs 打开 网 络 和 共享 中 心 
图 3-5-29 连接 VPN 客户 端 图 3-5-30 ”网 络 连接 状态 


单 击 “ 连 接 " 按 钮 后 ,在 无 误 的 情况 下 , 单 击 桌面 右 下 角 的 网 络 连接 后 ,显示 PPPTP- 
VPN-SERVER 已 连接 。 

当 客 户 端 成 功 连 接 上 时 ,在 命令 提示 符 环境 下 查看 成 功 连接 后 的 网 络 配置 ,如 图 3-5-31 
所 示 。 

(2) Ping 测试 。 在 VPN 客户 端 上 命令 提示 符 环境 中 通过 Ping 命令 测试 内 网 ,例如 
Ping 192. 168. 2. 110, 如 图 3-5-32 所 示 。 
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D SSR: C\windows\system3Z\cmd exe. 


3.5.8 实验 思考 

怎样 证 明 采 用 以 上 措施 的 网 络 通信 是 安全 的 ? 
3.6 数字 证 书 服务 及 加 密 认 证 
3.6.1 实验 类 型 


综合 型 ,8 学 时 , 必 选 实验 。 
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3.6.2 实验 目的 


数字 证 书 主要 应 用 于 各 种 需要 身份 认证 的 场合 ,如 网 上 银行 .网 上 交易 等 ,还 可 以 应 
用 于 发 送 安全 电子 邮件 .加 密 文件 等 方面 。 通 过 实验 ,使 学 生 了 解 PKI 的 体系 结构 .证书 
机 构 (CA) 的 安装 和 配置 ,通过 证 书 机 构 (CA) 管 理 证 书 的 方法 ,掌握 数字 证 书 的 申请 与 安 
装 ,数字 证 书 在 网 站 .电子 邮件 的 加 密 与 认证 等 方面 的 应 用 。 


3.6.3 题目 描述 


使 用 Windows 2000 Server 建立 数字 证 书 颁发 机 构 (CA), 处 理 并 颁发 客户 证 书 和 服 
务 器 证 书 ;在 浏览 器 和 Web 服务 器 之 间 通 过 数字 证 书 实现 身份 识别 与 加 密 通 信 ; 使 用 
RedHat Linux 9 操作 系统 架设 邮件 服务 器 ,用 户 之 间 通 过 电子 邮件 数字 证 书 实现 身份 
识别 。 


3.6.4 实验 要 求 


理解 数字 证 书 的 原理 和 作用 ,能 够 建立 CA 并 进行 数字 证 书 的 颁发 ,能 够 申请 ,安装 、 
使 用 Web 服务 器 证 书 和 客户 证 书 , 能 够 申请 、 安 装 、 使 用 电子 邮件 证 书 。 
提高 要 求 : 能 够 架设 邮件 服务 器 。 


3.6.5 相关 知识 


随 着 Internet 的 分 布 越 来 越 广泛 ,安全 问题 也 日 益 突出 ,保护 传送 数据 的 需求 也 越 来 
越 强烈 。 在 今天 的 Internet 上 ,最 常见 的 安全 是 通过 使 用 数字 证 书 实现 的 。 数 字 证 书 可 
以 在 一 个 不 信任 的 网 络 上 辨识 一 个 客户 和 服务 器 ,并 且 可 以 加 密 数 据 。 

目前 , 随 着 计算 机 技术 、 网 络 技术 的 发 展 ,社会 生活 中 传统 的 犯罪 和 不 道德 行为 更 加 
隐蔽 和 难以 控制 。 人 们 从 面对面 的 交易 和 作业 , 变 成 网 上 互相 不 见面 的 操作 ,没有 国界 、 
没有 时 间 限制 ,可 以 利用 互联 网 的 资源 和 工具 进行 访问 、 攻 击 甚 至 破坏 。 


1, 安全 认证 中 心 (CA) ,数字 证 书简 介 


数字 证 书 是 网 络 通信 中 标志 通信 各 方 身份 信息 的 一 系列 数据 ,提供 了 一 种 在 
Internet 上 验证 身份 的 方式 ,是 由 一 个 权威 机 构 一 一 CA 机 构 , 又 称 为 证 书 授权 
(Certificate Authority) 中 心 发 行 的 。 数 字 证 书 是 一 个 经 证 书 授权 中 心 数 字 签 名 的 包含 客 
户 的 公 钥 等 与 客户 身份 相关 的 信息 ,如 客户 唯一 可 识别 名 等 。 同 时 ,CA 也 可 以 提供 时 间 
截 、 密 钥 管理 及 证 书 作废 表 (CRL) 等 服务 。 作 为 安全 网 络 的 公证 机 构 ,为 了 维护 网 络 用 户 
间 的 安全 通信 ,CA 必须 行使 以 下 职能 。 

(1) 管理 和 维护 客户 的 证 书 和 CRL; 
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(2) 维护 自身 的 安全 ; 

(3) 提供 安全 审计 的 依据 。 

在 基于 证 书 的 安全 通信 中 ,证 书 是 证 明 用 户 合法 身份 和 提供 用 户 合法 公 钥 的 凭证 ,是 
建立 保密 通信 的 基础 。 因 此 ,作为 网 络 可 信 机 构 的 证 书 管理 设施 ,CA 的 主要 职能 就 是 管 
理 和 维护 它 所 签发 的 证 书 , 提 供 各 种 证 书 服 务 , 包 括 证 书 的 签发 .更 新 .回收 .归档 等 。 在 
各 类 证 书 服务 中 ,除了 证 书 的 签发 过 程 需要 人 为 参与 控制 外 ,其 他 服务 都 可 以 利用 通信 信 
道 通过 用 户 与 CA 交换 证 书 服务 消息 进行 。CA 系统 的 主要 功能 是 管理 其 辖 域内 的 用 户 
证 书 , 因 此 ,CA 系统 功能 及 CA 证 书 的 应 用 紧 紧 围绕 证 书 的 管理 而 展开 。 

一 个 标准 的 X. 509 数字 证 书包 含 以 下 一 些 内 容 : 

CD 证 书 的 版 本 信息 ; 

(2) 证 书 的 序列 号 ,每 个 证 书 都 有 一 个 唯一 的 证 书 序列 号 ; 

(3) 证 书 所 使 用 的 签名 算法 ; 

(4) 证 书 的 发 行 机 构 名 称 ,命名 规则 一 般 采 用 X. 500 格式 ; 

(5) 证 书 的 有 效 期 ,现在 通用 的 证 书 一 般 采 用 UTC 时 间 格 式 , 它 的 计时 范围 为 
1950—2049; 

(6) 证 书 所 有 人 的 名 称 , 命 名 规则 一 般 采 用 X. 500 格式 ; 

(7) 证 书 所 有 人 的 公开 密 钥 ; 

(8) 证 书 发 行者 对 证 书 的 签名 。 


2. 数字 证 书 的 用 途 


数字 证 书 可 以 应 用 于 公众 网 络 上 的 商务 活动 和 行政 作业 活动 ,包括 支付 型 和 非 支付 
型 电子 商务 活动 ,其 应 用 范围 涉及 需要 身份 认证 及 数据 安全 的 各 个 行业 ,包括 传统 的 商 
业 、 制 造 业 、 流 通 业 的 网 上 交易 ,以 及 公共 事业 ,金融 服务 业 、 工 商 税务 海关 、 出 入 境 检 验 检 
疫 、 政 府 行政 办 公教 育 科研 单位 、 保 险 、 医 疗 等 网 上 作业 系统 。 

Internet 电子 商务 系统 技术 使 在 网 上 交易 各 方 能 够 极其 方便 、 轻 松 地 获得 政府 、 机 
构 、 商 家 和 企业 的 信息 ,但 同时 也 增加 了 某 些 敏 感 或 有 价值 的 数据 被 滥用 的 风险 。 交 易 各 
方 在 网 上 的 一 切 行为 都 必须 是 真实 可 靠 的 ,并 且 要 使 顾客 商家、 企业 和 机 构 等 交易 各 方 
都 具有 绝对 的 信心 ,因而 因特网 (Internet) 电 子 商务 系统 必须 保证 具有 十 分 可 靠 的 安全 保 
密 技 术 , 也 就 是 说 ,必须 依靠 数字 证 书 保证 网 络 安全 的 四 大 要 素 , 即 信息 传输 的 保密 性 、 数 
据 交换 的 完整 性 ,发 送信 息 的 不 可 否认 性 和 交易 者 身份 的 确定 性 。 

数字 证 书 采用 公 钥 体制 , 即 利 用 一 对 互相 匹配 的 密 钥 进行 加 密 、 解 密 。 每 个 用 户 自 己 
设 定 一 把 特定 的 仅 为 本 人 所 知 的 私有 密 钥 ( 私 钥 ), 用 它 进行 解密 和 签名 ;同时 设 定 一 把 公 
共 密 钥 ( 公 钥 ) 并 由 本 人 公开 ,为 一 组 用 户 所 共享 ,用 于 加 密 和 验证 签名 。 当 发 送 一 份 保密 
文件 时 ,发 送 方 使 用 接收 方 的 公 钥 对 数据 加 密 , 而 接收 方 则 使 用 自己 的 私 钥 解密 ,这 样 信 
息 就 可 以 安全 无 误 地 到 达 目 的 地 了 。 通 过 数字 的 手段 保证 加 密 过 程 是 一 个 不 可 逆 过 程 ， 
即 只 有 用 私有 密 钥 才能 解密 。 在 公开 密 钥 密码 体制 中 ,常用 的 一 种 是 RSA 体制 。 其 数学 
原理 是 将 一 个 大 数 分 解 成 两 个 质数 的 乘积 ,加 密 和 解密 用 的 是 两 个 不 同 的 密 钥 。 即 使 已 
知 明文 、 密 文 和 加 密 密 钥 ( 公 开 密 钥 ) , 想 要 推导 出 解密 密 钥 (私密 密 钥 ) ,在 计算 上 是 不 可 
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能 的 。 按 现在 的 计算 机 技术 水 平 , 要 破解 目前 采用 的 1024RSA 密 钥 , 需 要 上 千年 的 计算 
时 间 。 公 开 密 钥 技 术 解 决 了 密 钥 发 布 的 管理 问题 ,商户 可 以 公开 其 公开 密 钥 ,而 保留 其 私 
有 密 钥 。 购 物 者 可 以 用 人 人 皆 知 的 公开 密 钥 对 发 送 的 信息 进行 加 密 , 安 全 地 传送 给 商户 ， 
然后 由 商户 用 自己 的 私有 密 钥 进 行 解密 。 


3.6.6 实验 设备 


主流 配置 PC,Windows 2000 Server 操作 系统 ,IIS 服务 器 ,RedHat Linux 9 操作 系 
统 ,Foxmail 电子 邮件 客户 端 ,网 络 环境 。 


3.6.7 实验 步骤 


实验 内 容 一 : 用 SSL 和 数字 证 书 实现 安全 Web 访问 
1. 建立 认证 中 心 (CA) 


环境 要 求 : Web 服务 器 以 Windows 2000 Server 作为 操作 系统 ,认证 中 心 与 Web 服务 
器 位 于 同一 主机 ,IP 地 址 设 为 10. 0. 0. 1, 子 网 掩 码 设 为 255. 255. 255. 0, 浏 览 器 为 IE 4. 0 
以 上 。 

建立 认证 中 心 的 过 程 是 这 样 的 : 选择 “控制 面板 ”一 “添加 /删除 程序 ”一 “添加 /删除 
Windows 组 件 ”, 在 可 选项 中 选择 “证 书 服务 ”, 单 击 “ 详 细 信 息 ”, 确 保 “ 证 书 服务 Web iE 
册 支 持 ” 和 "证 书 服务 颁发 机 构 (CA)” 两 个 选项 都 被 选中 (如 图 3-6-1 所 示 ), 开 始 安 装 。 
此 时 ,系统 会 提示 您 一 旦 选择 了 证 书 服务 ,计算 机 的 域 和 机 器 名 是 不 可 更 改 的 。 选 择 证 书 
颁发 的 类 型 主要 包括 企业 根 CA ,企业 从 属 CA 、 独 立根 CA 和 独立 从 属 CA。 由 于 证 书 颁 
发 机 构 的 设置 是 很 重要 的 ,这 里 需要 特殊 说 明 ,企业 根 CA 和 独立 根 CA 都 是 证 书 颁发 体 
系 中 最 受信 任 的 证 书 颁 发 机 构 , 可 以 独立 地 颁发 证 书 。 企 业 根 CA 需要 Active Directory 
支持 ,而 独立 根 CA 不 需要 。 从 属 级 的 CA 由 于 只 能 从 另 一 证 书 颁发 机 构 获 取证 书 ,所 以 
一 般 不 被 选择 。 独 立根 CA 可 以 选择 在 收 到 申请 时 自动 颁发 证 书 或 将 申请 保持 为 搁置 状 
态 , 由 管理 员 验 证 证 书 申请 者 的 真实 性 及 合法 性 ,决定 是 否 颁发 证 书 。 可 以 根据 需求 选择 


Lig DUC s f. 灰色 框 表示 只 会 安装 该 组 件 的 一 
证 书 服务 的 子 姐 件 ©: 
Vi EARS ved 注册 支持 1.2 MB X 


图 3-6-1 “证 书 服务 ”对 话 框 
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合适 的 证 书 颁发 类 型 。 选 好 类 型 后 ,选择 该 页 中 的 “高 级 ”选项 ,进入 下 一 步 安装 ,填写 
CA 的 相关 信息 ,如 CA 名 称 、 单 位 \ 城 市 .电子 邮件 和 有 效 期 限 等 ,再 下 一 步 进 入 高 级 选 
项 页 (如 图 3-6-2 所 示 ) ,此 时 可 以 选择 用 来 生成 密 钥 对 的 加 密 服 务 提供 程序 (CSP)、 散 列 
算法 和 密 钥 长 度 , 并 选择 现 有 的 密 钥 及 相关 证 书 等 。 选 项 的 选择 取决 于 对 安全 程度 的 要 
求 . 计 算 机 的 复杂 运算 能 力 、 对 响应 时 间 的 要 求 和 系统 管理 证 书 的 负载 程度 等 。 单 击 “ 下 
一 步 ” 按 钮 ,选择 证 书 数据 库 及 日 志 的 位 置 ,确认 后 即 可 进行 安装 。 


ELLE 


X] 


BO 
SORFEREV ERS AA CMAR, RSCA—TRAD 


2) 
Microsoft Base ISS Cryptographic Provid p -— 
Microsoft Enhanced Cryptographic Provi d J vi 


图 3-6-2 “ 公 钥 / 私 钥 对 ”对话 框 


设置 证 书 服务 管理 : 安装 结束 后 ,进行 证 书 服务 管理 ,如 图 3-6-3 所 示 。 对 于 独立 根 
CA 可 以 选择 “在 收 到 证 书 申请 时 确定 证 书 颁发 机 构 ” 的 默认 动作 ,设置 方法 是 : 打开 “证 
书 颁发 机 构 ”, 单 击 CA 名 称 , 选 择 “ 属 性 ”>“ 策 略 模 块 ">“ 配 置 ”, 选 择 “ 证 书 申请 设 为 待 
定 , 系 统管 理 员 必须 专门 颁发 证 书 ”, 这 样 管理 者 可 以 直接 控制 证 书 的 发 放 。 对 于 相关 的 
申请 ,在 “证 书 颁发 机 构 ” 一 “待定 申请 ”中 选择 相应 的 申请 证 书 , 可 以 选择 “颁发 "或 “拒绝 ” 
选项 。 在 “已 颁发 证 书 ” 选 项 中 选择 相应 证 书 , 右 击 进行 “吊销 证 书 ” 的 操作 。 


| eto su || e | Gm | [363 | i 


图 3-6-3 证 书 颁发 机 构 窗口 
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2. 生成 申请 Web 站 点 数字 证 书 的 文件 


本 操作 在 Web 服务 器 端 进行 ,具体 步骤 如 下 。 

(1) 启动 Web 服务 器 的 “Internet 信息 服务 ”。 

(2) 在 “Internet 信息 服务 ”中 右 击 MyWeb 站 点 名 ,选择 快捷 菜单 的 “属性 ”命令 ,出 
Hi" MyWeb 属性 ”对 话 框 。 

(3) Si" MyWeb 属性 ”对 话 框 中 “目录 安全 性 ”页 标签 ,再 单 击 “ 服 务 器 证 书 ” 按 钮 。 

(4) 在 “IIS 证 书 向 导 ” 对 话 框 中 , 按 提示 ,依次 选择 “创建 一 个 新 证 书 ”>“ 现 在 准备 请 
求 , 但 稍 候 发 送 " 等 ,设置 有 关 属 性 ,将 最 后 的 证 书 申请 以 文本 文件 保存 ,假设 文件 名 为 
“C;\\certreq. txt", 

(5) 最 后 单 击 “ 完 成 ”按钮 即 可 。 


3. 生成 服务 器 证 书 


在 Web 服务 器 端 依次 执行 如 下 步骤 。 

(1) 将 证 书 申请 文件 内 容 复 制 到 剪 切 板 。 方 法 是 用 记事 本 打开 *C:\\certreq. txt". 
查看 申请 文件 内 容 。 可 以 看 到 这 是 一 个 纯 文本 文件 ,以 PKCS# 10 编码 格式 保存 ,首尾 
两 行为 申请 的 开始 与 结束 。 选 择 “ 编 辑 /全 选 ”, 再 选择 编辑/ 复制" 即 可 。 

(2) 启动 正 ,在 地 址 栏 输入 “http://10. 0.0.1/certsrv;”。 

(3) 选择 “申请 证 书 ”, 单 击 “ 下 一 步 ” 按 钮 。 

(A) 选择 申请 类 型 为 “高 级 申请 ”, 单 击 * 下 一 步 ?按钮 。 

(5) 选择 第 2 项 “使 用 Base64 编码 的 PKCS# 10 文件 提交 一 个 证 书 申请 ,或 使 用 
Base64 编码 的 PKCS# 7 文件 更 新 证 书 申请 ”, 单 击 * 下 一 步 ?按钮 。 

(6) ril rh B] * Base64 编码 证 书 申请 ”右边 的 编辑 框 ,选择 快捷 菜单 选项 “粘贴 ”, 将 证 
书 申请 内 容 粘贴 进去 。 

(7) 单 击 “ 提 交 ” 按 钮 ,完成 申请 功能 。 

(8) 打开 证 书 服务 器 的 “证 书 颁发 机 构 ”>“ 待 定 申请 ”, 右 击 申请 ,选择 “颁发 ”。 

(9) 在 Web 服务 器 启动 IE, 在 地 址 栏 输入 “http://10. 0. 0. 1/certsrv”, 选择“ 检索 
CA 证 书 或 证 书 吊 销 列表 ”等 提示 ,如 图 3-6-4 所 示 , 单 击 “ 下 一 步 ” 按 钮 。 

|| rE — — — S] rei jio 


XB 
SIRE Web MARCH nè HAM. BTR. SREE SRE RE 


二 个 证 书 。 一 旦 您 获得 一 个 证 书 ， 您 将 能 够 安全 地 向 Web 上 的 其 他 人 标识 您 自 
己 ， 为 电子 闻 件 签名 ， 加 灾 电 子 部 件 ， 以 及 其 它 ， 基 于 您 申请 的 证 书 关 型 。 


选择 一 个 任务 : 
CRE CA 证 书 或 证 书 吊销 列表 
会 申请 证 书 
个 检查 挂 起 的 证 书 


te] 


到 
FREE 人 人 
图 3-6-4 ”认证 申请 对 话 框 
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(10) 选择 “Base64 编码 ”, 单 击 “ 下 载 CA 证 书 ”, 如 图 3-6-5 所 示 , 将 证 书 以 
mywebcert. cer 为 文件 名 保存 在 桌面 上 。 


图 3-6-5 证 书 安装 对 话 框 


4. 安装 服务 器 证 书 


进入 Web 服务 器 ,打开 “MyWeb 属性 ”对 话 框 , 单 击 “ 服 务 器 证 书 ”, 在 “IIS 证 书 向 
导 ” 对 话 框 中 按 提 示 操 作 即 可 安装 服务 器 证 书 。 步 骤 如 下 。 

(1) 选择 “处 理 挂 起 的 请 求 并 安装 证 书 ”。 

(2) 输入 证 书 文件 名 时 , 单 击 “浏览 ?按钮 ,选择 桌面 上 的 文件 *mywebcert”( 即 存储 刚 
才 生 成 的 服务 器 证 书 的 文件 ) , 单 击 “打开 ?按钮 ,直到 出 现 * 完 成 "对 话 框 时 , 单 击 * 完 成 按 
钮 即 完成 证 书 安装 。 


5. 实现 对 US 相关 目录 的 安全 访问 


在 TIS 相关 目录 上 右 击 选择 “属性 ”>“ 目 录 安 全 性 ”, 在 “匿名 访问 和 验证 控制 "中选 
择 “ 匿 名 访问 ”, 然 后 在 “安全 通信 ”中 选择 “编辑 ”, 进 入 如 图 3-6-6 所 示 界 面 ,在 选择 框 中 
选择 “申请 安全 通道 (SSL)” 选 项 ,再 选择 “接收 客户 证 书 ” 选 项 ,如 图 3-6-7 所 示 。 


ax 


图 3-6-6 目录 安全 性 选项 对 话 框 
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《网 络 安全 综合 实践 教程 》 


GSD d) 


SPER 
C BREEPUER O) 
© SRUEPUES QU 
C 申请 客户 证 书 如 


T 局 用 客户 证 书 喘 射 民 ) 
£5 Windows mil 


Saw. 


[wm o] e j| mw] 
图 3-6-7 “安全 通信 ”对 话 框 


6. 申请 并 安装 客户 端 证 书 


在 用 户 申请 中 有 Web 浏览 器 证 书 时 ,申请 和 安装 的 步骤 如 下 。 

d) 启动 正 ,在 地 址 栏 输入 "http://10. 0.0.1/certsrv”, 进 入 如 图 3-6-4 所 示 认 证 申 
请 对 话 框 。 

(2) 单 击 “下 一 步 ” 按 钮 ,在 "用户 证 书 申请 ” 框 中 选择 “Web 浏览 器 证 书 ”, 单 击 “ 下 一 
步 ” 按 钮 ,在 “标识 信息 ”页 面 填写 相关 的 信息 , 单 击 “ 提 交 ” 按 钮 ,完成 客户 证 书 的 申请 。 

G) 在 证 书 颁发 服务 器 打开 “证 书 颁发 机 构 ”, 在 “待定 申请 ”中 将 会 发 现 有 一 新 的 申 
请 ,将 其 颁发 , 则 完成 客户 证 书 的 颁发 。 

(4) 在 客户 端 重新 输入 “http://10. 0. 0. 1/certsrv"Jf-fE Enter 键 ,选择 “检查 挂 起 的 
证 书 ”, 单 击 “ 下 一 步 ” 按 钮 ,选择 要 下 载 的 证 书 , 单 击 “ 下 一 步 ” 按 钮 ,选择 “安装 此 证 书 ”, 则 
完成 客户 证 书 的 安装 过 程 。 


7. 使 用 https 访问 Web 服务 器 


CD 在 Web 服务 器 上 建立 并 设置 默认 主页 。 

(2) 访问 安全 Web 的 方式 如 下 : 在 安装 了 客户 证 书 的 主机 启动 IE, 在 地 址 栏 输 入 
Web 服务 器 的 地 址 “https://10.0.0.1”, 按 Enter 键 ,在 弹出 的 对 话 框 中 选择 所 申请 的 证 
书 , 即 可 访问 该 Web 服务 器 。 

实验 内 容 二 : 电子 邮件 数字 证 书 

硬件 环境 : 主流 配置 PC 4 台 ,以 太 网 交换 机 1 台 , 其 网 络 拓扑 结构 如 图 3-6-8 所 示 。 

操作 系统 : IP 地 址 为 192. 168. 10. 10/24 的 主机 安装 Windows 2000 Pro SP4 操作 系统 ; 
IP 地 址 为 192. 168. 10. 11/24 的 主机 安装 Windows 2000 Server SP4 操作 系统 ,主机 名 为 
www. def. mb; IP 地 址 为 192. 168. 10. 12/24 的 主机 安装 RedHat Linux 9. 0 操作 系统 ,主机 名 为 
dns. def. mb;IP 地 址 为 192. 168. 10. 20/24 的 主机 安装 Windows 2000 Pro SP4 操作 系统 。 

工具 手段 : 伪造 电子 邮件 发 送 工具 ZapMail. exe. 国产 电子 邮件 客户 端 软件 


foxmail6. Obeta4. exe. 
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[第 3 章 ESS 


任务 分 工 : AG A 在 IP 地 址 为 192. 168. 10. 10/24 的 主机 上 实现 电子 邮件 接收 等 任 
务 ; 人 员 B 在 IP 地 址 为 192.168. 10. 11/24 的 主机 上 实现 配置 CA 服务 器 等 任务 ;人 员 C 
在 IP 地 址 为 192. 168. 10. 12/24 的 主机 上 实现 安装 配置 Sendmail 服务 器 DNS 服务 器 等 
任务 ;人 员 D 在 IP 地 址 为 192. 168. 10. 20/24 的 主机 上 实现 进行 电子 邮件 发 送 等 任务 。 

CD AR C 安装 配置 DNS 服务 器 。 新 建 一 个 终端 ,输入 命令 “redhat-config-packages” 
后 按 Enter 键 ,在 添加 删除 程序 中 选择 DNS Name Server, 然 后 单 击 Update 按钮 更 新 ,如 图 
3-6-9 所 示 。 


Ç] Package Management 


Add or Remove Packages lo 


192. 168. 10. 20/24 [LI WIHWUWS i nwe server wer 


[a] 
= = This package group allows you to share files between Linux 
al d and MS Windows(tm) systems. 
DNS Name Server RI Details] 
This package group allows you to run a DNS name server 
192. 168. 10. 11/24 192. 168. 10. 12/24 Bing cate. en. i 


— 
Total install size: 1,967 Megabytes 
Baur | 


192. 168. 10. 10/24 


3-6-8 电子 邮件 数字 证 书 实验 拓扑 图 3-6-9 安装 DNS 服务 器 软件 包 


(2) 使 用 如 下 命令 启动 DNS 服务 。 


#service named start 
#chkconfig named- - level 35 on 


(3) 打开 文件 /etc/named. conf ,添加 如 下 内 容 建立 域 def. mb。 其 正 向 解析 文件 为 
def. mb. zone, 反 向 解析 文件 为 def. mb. arpa, 网 络 地 址 为 192. 168. 10. 0/24。 


//11// feegin config the zone of def .nib////// 
zone "def .nb"IN{ 
type master; 
file "def .mb.zone"; 
F 
zone "10.168.192.inr addr.arpa" IN( 
type master; 
file "def.nb.arpa"; 
N 


(4) 在 /var/named/ 目 录 下 新 建文 件 def. mb. zone, 内 容 如 下 : 


$ TIL 86400 


@ INSOAdef.mb. root@ dns.def.mb.( 
42 ¡serial (d. adams) 
3H ;refresh 
18M ;retry 


1D) ;minimm 
INNS def nb. 
@ INM1 mail 
dns INA 192.168.10.12 mail 
INA 192.168.10.12 
ww NA 192.168.10.11 


(5) TE/var/named/ H 5 F 3r XC def. mb. arpa, AF Ml F : 


$ TIL 86400 

e IN SCA localhost. root.localhost. ( 
1997022700 ;Serial 
28800 ;Refresh 
14400 ;Fetry 
3600000 — ;Expire 
86400) ;Minimm 

e IN NS localhost. 


12 IN PIR dns.def .nb. 
12 IN PIR mail .def.nb. 
1 IN PIR www.def .nb. 


(6) 重新 启动 DNS IRS : 
#service named reload 


(7) ABR A 在 IP 地 址 为 192. 168. 10. 10/24 的 主机 上 实现 将 DNS 服务 器 的 TP 地 址 


设置 为 192. 168. 10. 12 ,如 图 3-6-10 所 示 。 


首选 ns RSS: 192 .168 . 10 .12 
备用 DNS 服务 器 由) - 


图 3-6-10 设置 DNS 服务 器 的 地 址 


C BATEN ONS RIREO: | 


(8) 在 命令 提示 符 下 运行 如 图 3-6-11 所 示 命 令 以 验证 DNS 服务 器 是 否 可 以 正常 工作 。 
nslookup 
(9) AR C 安装 配置 Sendmail 服务 器 。 新 建 一 个 终端 ,输入 命令 “redhat-config- 


packages” 后 按 Enter 键 ,在 添加 删除 程序 中 选择 Mail Server, 如 图 3-6-12 所 示 , 单 击 
Details 确保 imap 和 sendmail-cf 选中 ,然后 更 新 ,如 图 3-6-13 所 示 。 
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(10) 使 用 如 下 命令 启动 sendmail, 看 到 OK 后 确认 服务 已 经 启动 。 


#service sendmail start 
#chkconfig sendmail- - level 35 on 


lookup 


-def -mb 


图 3-6-11 验证 DNS 服务 


v Package Management 


Add or Remove Packages 


Q These tools allow you to run a Web server on the system. 


Mail Server [3/7] Details 


<>, These packages allow you to configure an IMAP or Postfix 
€ mall server. 


Total install size: 1,967 Megabytes 


Dau 


图 3-6-12 安装 Mail Server 服务 器 软件 包 


E_Mail server Package petails 


A package group can have both standard and extra package 
members. Standard packages are always available when the 
package group is installed. 


Select the extra packages to be installed: 


» Standard Packages 


"7 Extra Packages 

imap - Server daemons for IMAP and POP network mail protocols. 
O mailman - Mailing list manager with built in Web access. 

[O postfix - Postfix Mail Transport Agent 

sendmail-cf - The files needed to reconfigure Sendmail 


O spamassassin - This is SpamAssassin, a spam filter for email which can be invoked f| 
C squirrelmail - SquirrelMail webmail client 


图 3-6-13 ”选择 Mail Server 服务 器 软件 包 
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《网 络 安全 综合 


实践 教程) 


(11) 修改 /etc/mail/sendmail. cf 文件 来 配置 sendmail 的 监听 端口 : 


#SMIP daemon options 
O DaemonPortOptions- Port- smtp, Addr= 127.0.0.1,Name= MIA 


更 改 为 : 

O DaemonPortOptions- Port- smtp, Addr= 192.168.10.12,Name= MIA 

改 完 后 保存 退出 ,并且 重新 启动 sendmail IRF : 

#service sendmail restart 

使 用 如 下 命令 检查 sendmail 服务 ,出 现 192. 168. 10. 12:25 说 明 服务 已 经 在 运行 ， 
#netstat - ant 


(12) 修改 /etc/xinetd. d/ 下 面 的 ipop3 和 imap 文件 ,把 disable 的 值 改 为 no, 重 新 加 


载 配置 文件 使 它 生效 : 
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#/service xinetd reload 

(13) fE/etc/mail/access 文件 中 加 入 下 面 一 行 : 

def.mb RELAY 

保存 后 运行 make access. db 的 命令 来 生成 access. db 文件 。 
#od/etc/mail 

#make access .db 

(14) f£ /etc/ mail/local-host-nameds 文件 : 


#vi local- host- names 
// 添 加 如 下 两 行 
mail.def.nb 

def.nb 


(15) 重新 启动 : 

#services sendmail restart 

(16) 在 mail 组 中 增加 用 户 并 且 设 置 密码 为 123456 : 
#useradd - g mail alice 


#passwd alice $ Enter 键 后 输入 密码 
123456 


按 Enter 键 后 再 次 输入 确认 。 


#useradd - g mail bob 
#passwd bob fit Enter 键 后 输入 密码 
123456 


4% Enter 键 后 再 次 输入 确认 。 

(17) 人 员 A 在 IP 地 址 为 192. 168.10. 10/24 的 主机 上 实现 打开 光盘 中 的 电子 邮件 
客户 端 软件 foxmail6. 0beta4. exe, 双 击 安装 。 

(18) 新 建 一 个 邮箱 账户 alice? mail. def. mb ,账户 密 码 是 123456, 如 图 3-6-14 所 示 。 

(19) AR D fe IP 地 址 为 192. 168. 10. 20/24 的 主机 上 实现 打开 光盘 中 的 电子 邮件 
客户 端 软件 foxmail6. Obeta4. exe, 双 击 安装 。 

(20) 新 建 一 个 邮箱 账户 bob@ mail. def. mb ,账户 密码 是 123456 ,如 图 3-6-15 所 示 。 

E & vobédef. mb 


SO hee 
v Ek 


Q caza 
O 垃圾 邮件 箱 
G 


3-6-14 IKP alice 的 邮箱 图 3-6-15 SKF bob 的 邮箱 


(21) 人 员 D 将 其 DNS 设置 为 192. 168. 10. 12. 

(22) AR A 和 人 员 D 互相 发 一 封 邮件 ,并 接收 对 方 发 来 的 邮件 ,以 确认 邮件 服务 器 
可 以 工作 。 

(23) 人 员 D 打开 光盘 中 的 伪造 电子 邮件 发 
送 工具 ZapMail. exe, 双 击 运行 ,将 如 图 3-6-16 所 — us servers ect detur 
示 的 内 容 填写 完毕 ,并 单 击 Send 按钮 。 在 这 里 伪 ~ ma 
造 了 一 个 来 源 为 test@mail. def. mb 的 邮件 地 址 。 lt [or 

(24) AB A 接收 邮件 ,他 不 能 确认 邮件 内 容 
的 真实 性 。 

(25) AB B Æ IP 地 址 为 192. 168. 10. 11/24 
的 主机 上 配置 CA 服务 器 。 选 择 “ 控 制 面板 ”一 
“添加 /删除 程序 ”>“ 添 加 /删除 Windows 组 件 ”， 
在 可 选项 中 选择 “证 书 服务 ”, 单 击 “ 详 细 信 息 ”, 确 
保 “ 证 书 服务 Web 注册 支持 "和 “证 书 服务 颁发 机 
构 (CA)” 都 被 选中 ,并 开始 安装 。 安 装 过 程 中 ,证 
书 颁发 的 类 型 选择 “独立 根 CA”。 进 入 下 一 步 安 装 ,填写 CA 的 相关 信息 ,如 图 3-6-17 
所 示 。 

(26) 单 击 * 下 一 步 ?按钮 ,选择 证 书 数据 库 及 日 志 的 位 置 ,确认 后 继续 进行 安装 。 

(27) 安装 结束 后 ,选择 “开始 ”设置 "一 控制 面板 ”> 管理 工具 ”, 双 击 * 证 书 颁 发 
机 构 ”, 如 图 3-6-18 所 示 。 

(28) 单 击 CA 名 称 , 选 择 “ 属 性 ”>“ 策 略 模 块 ”>“ 配 置 ”", 选 择 “ 证 书 申请 设 为 待定 ， 
系统 管理 员 必 须 专门 颁发 证 书 ”, 这 样 管理 员 就 可 以 直接 控制 证 书 的 发 放 了 。 

(29) 对 于 相关 的 申请 ,都 可 以 在 “证 书 颁发 机 构 ”>“ 待 定 申请 ”中 看 到 ,选择 相应 的 
申请 , 右 击 ,选择 “颁发 或“ 拒绝” 选项。 如果 要 吊销 证 书 ,可 以 在 “证 书 颁发 机 构 ”>“ 已 颁 
发 证 书 ” 选 项 中 选择 相应 证 书 , 右 击 , 可 以 进行 “吊销 证 书 ” 的 操作 。 对 于 吊销 的 证 书 ,也 可 


3-6-16 人 员 D 伪造 电子 邮件 


9 一 一 一 一 一 一 一 


fas 证 书 侨 发 机 构 


[erw sv |e >am aBel | 
- 


3-6-18 ”证 书 颁发 机 构 


以 在 “证 书 颁发 机 构 ” 一 “吊销 的 证 书 ” 中 选择 相应 的 证 书 , 右 击 ,选择 “重新 颁发 证 书 ”。 
(30) 人 员 A 申请 电子 邮件 证 书 。 启动 正 , 在 地 址 栏 输入 地 址 http://192. 168. 10. 
11/certsrv 并 按 Enter 键 。 
GD 在 欢迎 页 面 上 选择 任务 为 “申请 证 书 ”, 单 击 下 一 步 , 在 选择 申请 类 型 页 面 上 单 
击 “ 电 子 邮 件 保护 证 书 ”, 单 击 下 一 步 , 在 标识 信息 页 面 上 填 和 人 申请 者 的 信息 。 填 写 完毕 后 
单 击 “ 提 交 ”, 如 图 3-6-19 所 示 。 


a: 
国家 (地 区 ): [CN 


图 3-6-19 ”填写 标识 信息 
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(32) AGA B 打开 * 证 书 颁发 机 构 ”, 可 以 看 到 在 
“待定 申请 ”中 有 一 个 新 的 申请 ,选择 相应 的 申请 , 右 
击 选择 “颁发 ", 则 生成 了 相应 的 电子 邮件 证 书 。 

(33) AGA 在 下 地 址 栏 输入 地 址 http://192. 
168. 10. 11/certsrv 并 按 Enter 键 ,在 欢迎 页 面 上 选 
择 “ 检 查 挂 起 的 证 书 ”, 单 击 “ 下 一 步 ”, 在 检查 挂 起 的 
证 书 申请 页 面 上 单 击 将 要 下 载 的 证 书 ,如 图 3-6-20 
所 示 ,并 单 击 “下 一 步 ”。 图 3-6-20 ”检查 挂 起 的 证 书 

(34) 在 证 书 已 发 布 页面 单 击 “ 安 装 此 证 书 ”, 完 
成 证 书 的 安装 。 

(35) AR D 重复 此 过 程 完 成 电子 邮件 证 书 的 申请 和 安装 。 

(36) A fà A 打开 foxmail 窗 体 ,在 alice@ mail. def. mb 邮箱 账户 上 右 击 ,然后 单 击 
“属性 ”, 在 邮箱 账户 设置 窗 体 上 单 击 “ 安 全 ”, 然 后 单 击 安全 属性 窗 体 中 的 “选择 ”按钮 ,如 
图 3-6-21 所 示 。 


邮箱 帐户 设置 


图 3-6-21 设置 安全 属性 并 选择 证 书 


(37) 在 弹出 的 窗 体 中 选择 电子 邮件 证 书 , 并 单 击 “* 确 定 ” 按 钮 ,在 邮箱 账户 设置 窗 体 
上 单 击 “ 确 定 "按钮 完成 电子 邮件 证 书 的 安装 ,如 图 3-6-22 所 示 。 


3-6-22 ”选择 电子 邮件 证 书 


(38) AR D 重复 以 上 过 程 完 成 bob mail. def. mb 邮箱 证 书 的 安装 。 
(39) AR A 打开 foxmail 电子 邮件 客户 端 ,在 工具 栏 中 单 击 “ 撰 写 新 邮件 ”, 收 件 人 
为 bob@ mail. def. mb. 主题 为 I am Alice, 内 容 为 This is a test。 单 击 工 具 栏 的 “选项 ”， 
然后 在 菜单 中 单 击 选择 “数字 签名 ”, 然 后 单 击 工具 栏 的 “发 送 ”。 
(40) AR D 打开 foxmail 电子 邮件 客户 端 ,在 工具 栏 中 单 击 “ 收 取 ”, 单 击 收 到 的 邮 
件 ,将 看 到 签名 信息 的 提示 , 单 击 “继续 ?按钮 ,看 到 图 3-6-23 所 示 内 容 。 
Iam Alice 


国 alice 
WEA: bob 


This is a test 


3-6-23 ”邮件 内 容 


(D 单 击 右 上 角 的 景 符号 ,将 显示 签名 信息 ,可 以 看 到 数字 签名 方 为 alice, 此 外 还 
可 以 单 击 “ 查 看 签名 证 书 ” 按 钮 查看 详细 的 证 书信 息 。 因 为 每 个 邮件 地 址 只 能 使 用 一 个 证 
书 , 所 以 任何 伪造 发 信人 地 址 的 邮件 都 由 于 缺少 相应 的 证 书 而 难以 奏效 ,如 图 3-6-24 


所 示 。 


图 3-6-24 ”显示 签名 信息 


3.6.8 实验 思考 


1. 建立 认证 中 心 (CA) 应 考虑 哪些 方面 的 问题 ? 
2. 电子 邮件 的 加 密 功 能 和 认证 功能 有 哪些 异同 ? 
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3.7 访问 控制 和 网 络 防 火 墙 
3.7.1 实验 类 型 

综合 型 ,8 学 时 , 必 选 实验 。 
3.7.2 实验 目的 


访问 控制 是 网 络 安全 防范 和 保护 的 主要 核心 策略 , 它 的 主要 任务 是 保证 网 络 资源 不 
被 非法 使 用 和 访问 。 通 常 将 访问 控制 技术 划分 为 如 下 几 个 方面 : 入 网 访问 控制 .网 络 权 
限 控制 .目录 级 安全 控制 、 属 性 安全 控制 以 及 网 络 服务 器 的 安全 控制 等 。 通 过 实验 ,使 学 
生 认 识 网 络 访问 控制 的 内 容 , 掌 握 网 络 访问 控制 的 方法 。 


3.7.3 题目 描述 
使 用 网 络 防火 墙 联想 网 御 2000 进行 网 络 访问 控制 。 
3.7.4 实验 要 求 


理解 访问 控制 的 内 涵 , 认 识 访问 控制 对 信息 安全 保障 的 影响 。 能 够 根据 访问 控制 需 
求 使 用 联想 网 御 2000 进行 网 络 访问 控制 。 
提高 要 求 : 能 够 对 Windows NTFS 文件 系统 进行 权限 分 配 。 


3.7.5 相关 知识 


1. 访问 控制 


访问 控制 是 网 络 安全 防范 和 保护 的 主要 核心 策略 , 它 的 主要 任务 是 保证 网 络 资源 不 
被 非法 使 用 和 访问 。 访 问 控制 规定 了 主体 对 客体 访问 的 限制 ,并 在 身份 识别 的 基础 上 , 根 
据 身份 对 提出 资源 访问 的 请 求 加 以 控制 。 它 是 对 信息 系统 资源 进行 保护 的 重要 措施 ,也 
是 计算 机 系统 最 重要 和 最 基础 的 安全 机 制 。 

访问 控制 的 基本 概念 如 下 。 

1) 主体 (Subject) 

主体 是 指 主动 的 实体 ,是 访问 的 发 起 者 , 它 造 成 了 信息 的 流动 和 系统 状态 的 改变 。 主 
体 通常 包括 人 、 进 程 和 设备 。 

2) 客体 (Object) 

客体 是 指 包 含 或 接受 信息 的 被 动 实体 ,客体 在 信息 流动 中 的 地 位 是 被 动 的 ,是 处 于 主 
体 的 作用 之 下 ,对 客体 的 访问 意味 着 对 其 中 所 包含 信息 的 访问 。 客 体 通 常 包 括 文件 、 设 
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备 、 信 号 量 和 网 络 节点 等 。 

3) 访问 (Access) 

访问 (Access) 是 使 信息 在 主体 (Subject) 和 客体 (Object) 之 间 流 动 的 一 种 交互 方式 。 

4) 访问 控制 (Access Permissions) 

访问 控制 决定 了 谁 能 够 访问 系统 ,能 访问 系统 的 何 种 资源 以 及 如 何 使 用 这 些 资源 。 
适当 的 访问 控制 能 够 阻止 未 经 允许 的 用 户 有 意 或 无 意 地 获取 数据 。 访 问 控制 的 手段 包括 
用 户 识 别 代码 .口令 .登录 控制 .资源 授权 (例如 用 户 配置 文件 .资源 配置 文件 和 控制 列 
表 ) .授权 核查 .日 志和 审计 等 。 


2. 访问 控制 策略 


访问 控制 涉及 的 领域 很 广 ,方法 也 很 多 ,通常 访问 控制 策略 可 以 划分 为 自主 访问 控制 
(Discretionary Access Control) ,强制 访问 控制 (Mandatory Access Control) 和 基于 角色 
的 访问 控制 (Role Based Access ControD3 种 。 


3. 访问 控制 的 方法 


(1) 网 络 访问 控制 ,主要 包括 MAC 地 址 过 滤 、VLAN 隔离 IEEE 802. 1Q 身份 验证 、 
基于 IP 地 址 的 访问 控制 列表 和 防火 墙 控制 等 。 

(2) 目录 级 安全 控制 ,如 Windows 的 NTFS 文件 系统 ,Linux 的 EXT3 文件 系统 ,可 
以 根据 系统 用 户 的 身份 对 系统 文件 目录 进行 详细 的 访问 权限 设置 。 

G) 属性 安全 控制 ,设置 文件 或 目录 的 读 、 写 、 隐 藏 等 属性 。 

(4) 网 络 服 务 器 的 安全 控制 ,如 设置 服务 访问 口令 等 。 


4. 防火 墙 的 分 类 


防火 墙 从 实现 方式 上 ,可 以 分 为 软件 防火 墙 、 硬 件 防 火 墙 和 和 能 入 式 防火 墙 三 类 。 软 件 
防火 墙 运行 于 特定 的 计算 机 上 , 它 需要 预先 安装 好 的 计算 机 操作 系统 的 支持 (如 Linux, 
UNIX 或 Windows 2000) ,一 般 来 说 这 台 计 算 机 就 是 整个 网 络 的 网 关 , 如 天 网 个 人 及 企业 
版 防火 墙 \.Norton 个 人 及 企业 版 软件 防火 墙 以 及 Linux 防火 墙 等 。 

硬件 防火 墙 如 果 从 技术 上 又 可 分 为 两 类 : 标准 防火 墙 和 应 用 层 网 关 防火 墙 。 标 准 防 
火 墙 系统 包括 一 个 UNIX 工作 站 ,该 工作 站 的 两 端 各 连接 一 个 路 由 器 进行 缓冲 。 其 中 一 
个 路 由 器 的 接口 是 外 部 世界 , 即 公 用 网 ; 另 一 个 则 连接 内 部 网 。 标 准 防火 墙 使 用 专门 的 软 
件 , 并 要 求 较 高 的 管理 水 平 ,而 且 在 信息 传输 上 有 一 定 的 延迟 。 应 用 层 网 关 (applications 
layer gateway) 又 称 堡垒 主机 ,是 一 个 单个 的 系统 , 却 能 同时 完成 标准 防火 墙 的 所 有 功能 。 
其 优点 是 能 运行 更 复杂 的 应 用 ,同时 防止 在 互联 网 和 内 部 系统 之 间 建 立 任何 直接 的 边界 ， 
可 以 确保 数据 包 不 能 直接 从 外 部 网 络 到 达 内 部 网 络 , 反 之 亦 然 。 

嵌入 式 防火 墙 通常 指 的 是 防火 墙 功 能 被 集成 到 路 由 器 或 者 交换 机 中 的 防火 墙 ,这 类 
防火 墙 在 进行 数据 包 检 测 路 由 器 的 时 候 , 先 检测 包 的 安全 性 ,再 进行 路 由 。 这 里 说 的 硬件 
防火 墙 区 别 于 嵌入 式 防火 墙 , 设 计 为 一 种 总 体系 统 。 根 据 是 否 基于 专用 的 硬件 平台 ,由 入 
式 防火 墙 又 可 以 分 为 普通 的 硬件 防火 墙 和 芯片 级 的 硬件 防火 墙 。 市面 上 较 常 见 的 普通 的 
硬件 防火 墙 一 般 基 于 PC 架构 ,在 这 些 PC 架构 计算 机 上 运行 一 些 经 过 裁剪 和 简化 的 操作 
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系统 ,本 书 的 实例 FOUND Secuway 100 即 属 于 这 一 类 。 芯 片 级 防火 墙 基于 专门 的 硬件 
FE 台 , 专 有 的 ASIC 芯片 使 它们 比 其 他 种 类 防火 墙 速度 更 快 ,性 能 更 高 ,使 用 专用 的 操作 
系统 ,防火 墙 本 身 的 漏洞 少 。 例 如 CISCO 的 PIX 防火 墙 等 ,就 是 通过 专 有 技术 的 硬件 和 
软件 的 结合 来 达到 隔离 内 、 外 部 网 络 的 目的 。 

随 着 防火 墙 技 术 的 发 展 ,在 应 用 层 网 关 的 基础 上 又 演化 出 两 种 防火 墙 配 置 , 一 种 是 隐 
项 主机 网 关 , 另 一 种 是 隐蔽 智能 网 关 ( 隐 藏 子 网 ) 。 隐 项 主机 网 关 是 当前 的 一 种 常见 的 防 
火 墙 配置 ,顾名思义 ,这 种 配置 一 方面 将 路 由 器 进行 隐蔽 , 另 一 方面 在 互联 网 和 内 部 网 之 
间 安 装 堡垒 主机 。 堡 又 主机 装 在 内 部 网 上 ,通过 路 由 器 的 配置 ,使 该 堡 从 主机 成 为 内 部 网 
与 互联 网 进行 通信 的 唯一 系统 。 目 前 技术 最 为 复杂 而 且 安全 级 别 最 高 的 防火 墙 是 隐蔽 智 
能 网 关 , 它 将 网 关 隐 藏 在 公共 系统 之 后 使 其 免 遭 直接 攻击 。 隐 蔽 智能 网 关 提 供 了 对 互联 
网 服务 几乎 透明 的 访问 ,同时 阻止 了 外 部 未 授权 访问 对 专用 网 络 的 非法 访问 。 一 般 来 说 ， 
这 种 防火 墙 是 最 不 容易 被 破坏 的 。 

从 对 数据 包 的 检测 方式 ,可 以 把 防火 墙 分 为 如 下 三 类 。 

(1) 分 组 过 滤 防 火 墙 : 不 检查 数据 区 ,不 建立 连接 状态 表 , 前 后 报 文 无 关 , 应 用 层 控 
制 很 弱 。 

(2) 应 用 网 关 防 火 墙 : 不 检查 IP、TCP 报头 ,不 建立 连接 状态 表 , 网 络 层 保护 比较 弱 。 

(3) 状态 检测 防火 墙 : 不 检查 数据 区 ,建立 连接 状态 表 , 前 后 报 文 相关 ,应 用 层 控制 
IRI 


3.7.6 实验 设备 

主流 配置 PC 一 台 , Windows 操作 系统 ,联想 网 御 2000 网 络 防 火 墙 一 台 , 天 网 桌面 防火 墙 。 
3.7.7 实验 步骤 

(1) 安装 实验 所 需要 的 软件 GNS3-0. 8. 3. 1-all-in-on, 如 图 3-7-1 所 示 。 


Welcome to the GNS3 0.8.3.1 Setup 
Wizard 


This wizard will guide you through the installation of GNS3 
08.3.1. 


Itis recommended that you dose all other applications. 
before starting Setup. This wil make it possble to update. 
relevant system fies without having to reboot your 
computer. 


图 3-7-1 软件 安装 


内 容 
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完成 GNS3 安装 后 的 界面 如 图 3-7-2 所 示 。 


[inie ee 


ro À 
¿ivo OfM@@8 >) 80% -2ü- 


Drame 


3-7-2 ”安装 后 界面 


图 3-7-2 中 的 界面 是 英文 的 ,不 便于 操作 ,可 将 其 换 成 中 文 的 , 单 击 Edit > 
Preferences ,在 语言 选 框 中 单 击 “ 中 国 的 ”, 单 击 apply 按钮 ,再 单 击 OK 按钮 ,重启 GNS3 
后 可 看 到 GNS3 界面 变 成 中 文 版 的 ,如 图 3-7-3 所 示 。 


CI 


3-7-3 中文 版 界面 


(2) 画 出 基于 GNS 的 PIX 防火 墙 的 实验 拓扑 图 。 
(D 在 菜单 栏 选择 “编辑 ”一 “首选 项 ”一 Qemu 一 PIX, 选 择 pix804. bin 文件 ,如 图 3-7-4 


所 示 。 
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es | 
»svecrlmmbpymcy 2280 
= mice EE 
- I 
[s — 


| [Qemu 


[EASE | oE PN | FX | rmos | asa | us] 


Q 
| VirtualBox | 


标示 符 名 称 : [pix 
TRONA: [Fpi x004 IERI CO URARPAMBISE IPSO bin | 
内 存 128 WiB 


图 3-7-4 PIX3EXü-E 


@ 选择 “编辑 ”一 “标示 符 管理 器 ”一 computer, 添 加 Computer. “38 #4” EFF Cloud. ,如 
图 3-7-5 所 示 。 


标示 符 管理 器 
自 定 义 节点 设置 


mug E EC 
mE Cni an Gm Ij 
Cmm 


可 用 标示 符 | 目 定义 节点 
8 Gi niltrin sabols B center 


PIK firewall 
frase relay sni teh 
call man 


E access point 
optical router 


computer 


sip server 


dies 


E aim bridge 
router_firewall 


route_svitch processor 


label switch router 
cloud 


voice router 
Eb: 
d wd 
P printer 
edge label. svitch router 


gateway 


图 3-7-5 添加 Computer 


7T 


© X router c3700 添加 镜像 文件 unzip-c3725-adventerprisek9-mz. 124-15. T5, 如 


图 3-7-6 所 示 o 


à IOSRiHypervisors 


TOS | Hypervisors 


qos 


Tos ^ RAVER 
127.0, 0. 1:F: REH Vanzi p-c3T25- adventerpri sekO-mz, 124-15. TS. bin 7200 


设置 Hypervisors 
WUBI: [rip c3725-adventerprisekd-me,124-15.15.bin| C] E 使 用 tmerviror 管 理 
EER: fainrae contie t) [| 

平和 : — [eso ~ 

as [2 * 


mz re: | 

默认 内 存 ; |0 MiB 

Check for nininun RM reauirenent 
设置 为 该 平台 默认 I0S 


mo 


图 3-7-6 ”添加 镜像 文件 


@ 对 C1 进行 配置 : 右 击 C1 图 标 ,选中 “配置 ">NIO UDP ,进行 设置 后 , 单 击 “ 添 加 ” 


按钮 后 单 击 OK 按钮 ,如 图 3-7-7 所 示 。 


Cl 节点 


| 以太 网 No | NIO WP | NIO TAP | NIO wrx | NIO VDE | MIO MLL 


设置 NI0s 

nio udp: 30000: 127. 0.0. 1:20000 
本 地 端口 : [30001 
远程 主机 : [127.0.0.1 


远 各 端口: [20001 


he 号 


图 3-7-7 对 Cl 进行 配置 
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[5:s EXE 


© 对 C2 进行 配置 : 右 击 C2 图 标 ,选择 “配置 ">NIO UDP, 进 行 设置 后 , 单 击 * 添 加 ” 
按钮 后 单 击 OK 按钮 ,如 图 3-7-8 所 示 。 


C2 节点 


GARI mo | Wo WP | mro rae | wro wx | wo WE | wo mui | 


设置 Nos 
nio_udp:30001:127.0.0.1:20001 

本 地 端口 : [ 

远程 主机 


D sl 


EMA MPR) 


图 3-7-8 对 C2 进行 配置 


© 对 C3 进行 配置 : Aih C3 图 标 ,选择 “配置 ”~NIO UDP ,进行 设 置 后 , 单 击 * 添 加 ” 
按钮 后 单 击 OK 按钮 ,如 图 3-7-9 所 示 o 


节点 配置 


lica 节点 


| 
[Bw | wo we [wom | wo wax | wro voe | no wot | - 
NIOs 

[ni o_udp:30002: 127. 0.0. 1:20002 


图 3-7-9 对 C3 节点 进行 配置 


© 对 路 由 器 R1 的 节点 的 配置 如 图 3-7-10 所 示 o 
对 路 由 器 R2 的 节点 的 配置 如 图 3-7-11 所 示 。 


[Ei @ Routers c3T00 (Rl 节点 

$m | 内 存 磁盘 xe | 高 级 | 
适 配 卡 
slot 0: |GT96100-FE. 


slot 1: | 四 -4T 


slot 2: 


slot 3: 


slot 4. 


slot 5: 


slot 6: 


slot T. 


广域网 接口 卡 ITC) 


vic 0: 


wic 1 


vic 2 


图 3-710 对 Rl 节点 进行 配置 


Er <3700 [R2 EFA 

[en | nama [ 3 | man] 

适 配 卡 

slot 0: {6T96100-FE z 

oE 
8 


slot 2. 


slot 3. 


slot 4 


slot 5. 


slot 6: 


slot T. 


广域网 接口 卡 WIC) 


vico: [ 


vic 2 


图 3-7-11 对 R2 进行 配置 


© 对 路 由 器 R3 的 节点 的 配置 如 图 3-7-12 所 示 。 
O 在 各 设备 间 进 行 连 线 ,生成 节点 ,如 图 3-7-13 所 示 o 
D 生成 拓扑 图 ,如 图 3-7-14 所 示 。 
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图 3-7-14 生成 拓扑 图 


G) 用 防火 墙 划分 内 网 、 外 网 .DMZ 区 域 , 配 好 接口 IP 地 址 以 及 安全 级 别 。 
CD 在 防火 墙 上 为 各 个 端口 配置 IP 地 址 以 及 安全 级 别 , 安 全 级 别 默认 为 outside, 即 


0, 一 般 习 惯 默 认 dmz 安全 级 别 为 50 ,默认 inside 安全 级 别 为 100, 如 图 3-7-15 所 示 。 
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图 3-7-15 配置 IP 


@ 配置 IP 地 址 之 后 , 注 


ping 一 下 直 连 ,结果 如 图 3-7-16 Pra. 
pixfirewall# ping 192.168.10.2 

[Type escape sequence to abort. 

[Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds: 
Success rate is 100 percent (5/5), round-trip min/avg/max * 10/20/50 ms 
pixfirewall£ ping 10.10.1.2 

[Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 10.10.1.2, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round-trip min/avg/max = 20/30/60 ms 
pixfirewall£ ping 200.10.1.2 

Type escape sequence to abort. 

Sending 5, 100-byte ICMP Echos to 200.10.1.2, timeout is 2 seconds: 
nm 


Success rate is 100 percent (5/5), round-trip min/avg/max = 10/16/40 ms 


图 3-7-16 ping IP 


© 配置 路 由 器 RI 的 f0/1 端口 的 IP 地 址 为 19 
址 为 192. 168. 20.2, 如 图 3-7-17 所 示 


口 的 IP 地 


© 配置 路 由 器 R2 的 f0/0 端口 的 IP 地 址 为 10. 10. 1.2 ,配置 f0/1 端口 的 IP 地 址 为 
20. 20. 1.2 ,如 图 3-7-18 所 示 。 


图 3-7-18 配置 R2 


C) 配置 路 由 器 R3 的 £0/0 端口 的 IP 地 址 为 200. 10. 1. 2 ,配置 {0 
为 100. 10. 1 


端口 的 IP 地 址 
7-19 所 示 


图 3-7-19 配置 R3 


© 允许 DMZ 区 域 的 主机 的 ICMP 协议 的 报 文 访问 出 去 ,将 策略 应 用 在 dmz 接口 
上 ,如 图 3-7-20 所 示 。 
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C) 到 R1 上 测试 一 下 ,ping 一 下 dmz 主机 10. 10. 1. 2 ,图 3-7-21 中 显示 并 没有 ping 


通 , 此 时 应 该 在 各 个 路 由 器 上 添加 动态 路 由 RIP. 


Reuterfping 10.10.1.2 


ype escape sequence to abort. 
ending 5, 100-byte ICMP Echos to 10.10.1.2, timeout is 2 seconds: 


uccess rate is 0 percent (0/5) 


图 3-7-21 在 Rl Wik 


@ 在 Rl 上 添加 动态 路 由 RIP, 如 图 3-7-22 所 示 。 


Routerfconf t 

Enter configuration commands, one per line. 
[Router (config)#router rip 

[Router (config-router)#network 192.168.10.0 
[Router (config-router) #network 192.168.20.0 
Router (config-router) fend 


End with CNIL/Z. 


图 3-7-22 R1 添加 动态 路 由 


© 在 R2 上 添加 动态 路 由 RIP, 如 图 3-7-23 和 图 3-7-24 所 示 。 


R2£conf t 

Enter configuration commands, one per line. End with CNIL/Z. 
R2(config)frouter rip 

R2 (config-router)fnetwork 10.10.1.0 

R2 (config-router)fnetwork 20.20.1.0 

R2 (config-router)fend 

R2#wr 

Building configuration... 

LOK] 


图 3-7-23 R2 添加 动态 路 由 


© 在 R3 上 添加 动态 路 由 RIP, 如 图 3-7-25 Bros. 
D 在 各 个 路 由 器 上 添加 完 动态 路 由 了 RIP 后 ,到 RI 上 测试 一 下 ,ping 一 下 dmz 主机 


10. 10.1.2, 图 3-7-26 中 显示 ping 通 ,说明 R1 DMZ 主机 之 间 已 经 建立 了 通信 。 


配 


© 同样 为 了 允许 外 网 接口 ICMP 的 回 包 ,需要 在 防火 墙 上 进行 如 图 3-7-27 所 示 的 


® 到 R1 上 测试 一 下 ,ping 一 下 outside 主机 200. 10. 1.2, 图 3-7-28 中 显示 ping 通 ， 


说 明 R1 和 outside 主机 之 间 已 经 建立 了 通信 。 
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[nter configuration commands, one per line. End with CNIL/Z. 
3 (config) #router rip 

3 (config-router) #network 200.10.1.0 

3 (config-router) #network 100.10.1.0 

3 (config-router) # 

3 (config-router) fend 


Building configuration... 


添加 动态 路 由 


[nter configuration commands, one per line. End with CNIL/Z. 
3 (config) #router rip 


Building configuration... 


Routerfping 10.10.1.2 


[Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 10.10.1.2, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round-trip min/avg/max = 16/36/64 ms 


Æ 3-7-26 R1 测试 


all (confi 
WARNING: <outside: 
pixfirewall(config)f access- 
pixfirewall(config)f end 
pixfirewallf wr 
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Ri#ping 200.10.1.2 


Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 200.10.1.2, timeout is 2 seconds: 


Success rate is 100 percent (5/5), round-trip min/avg/max = 16/42/96 ms 


图 3-7-28 ping outside 主机 


(4) 防火 墙 静 态 路 由 配置 。 
CD 在 防火 墙 上 配置 静态 路 由 ,如 图 3-7-29 Bron o 


ixfirewall# conf t 
ixfirewall(config)f route dmz 20.20.1.0 255.255.255.0 10.10.1.2 


图 3-7-29 配置 静态 路 由 


dmz: 表示 接口 名 称 。 
20.20.1.02 .0: 表示 目的 网 段 。 
10. 10.1.2: 表示 下 个 路 由 器 的 IP 地 址 ,也 就 是 下 一 跳 地 址 
1: [metric] 路 由 花费 。 上 默认 值 是 1。route dmz 20. 20. 1.0 2 
© 在 Rl 上 测试 一 下 ,ping 一 下 20. 20. 1. 2 
配置 成 功 。 


1#ping 20.20.1.2 


ype escape sequence to abort. 
ending 5, 100-byte ICMP Echos to 20.20.1.2, timeout is 2 seconds: 


juccess rate is 100 percent (5/5), round-trip min/avg/max = 16/62/216 ms 


图 3-7-30 ”静态 路 由 配置 成 功 


(5) 防火 墙 上 的 NAT 配置 ,实现 内 网 访问 外 网 

(D nat 命令 的 配置 语法 : 

nat (if name)nat idlocal ip[netmark] 

其 中 ， 

Gf. name) : 表示 接口 名 称 ,一 般 为 inside。 

nat id; 表示 地 址 池 ,由 global 命令 定义 。 

local ip: 表示 内 网 的 IP 地 址 。 对 于 0.0.0.0 表示 内 网 所 有 主机 。 
[netmark]: 表示 内 网 IP 地 址 的 子 网 掩 码 。 

© Global 命令 的 配置 语法 ,Global 指定 公 网 地 址 范围 ,定义 地 址 池 : 


gldbal(f name)nat idip address- ip address [netmarkglcbal_mask] 


其 中 : 

Gf name) : 表示 外 网 接口 名 称 ,一 般 为 outside。 
nat id; 建立 的 地 址 池 标 识 Cnat 要 引用 ) 。 
ip_address-ip_address: 表示 一 段 IP 地 址 范围 。 
[netmarkglobal mask]: 表示 全 局 IP 地 址 的 网 络 掩 码 。 
@ 在 防火 墙 上 的 配置 如 图 3-7-31 所 示 。 


Pixfirewall# conf t 

pixfirewall(config)f nat (inside) 1 0 0 
Duplicate NAT entry 

pixfirewall(config)f global (outside) 1 interface 
INFO: outside interface address added to PAT pool 


图 3-7-31 防火墙 配置 


® 在 Rl1 上 测试 一 下 ,ping 一 下 外 网 主机 200. 10. 1. 2 ,图 3-7-32 显示 ping 通 了 , 表 


示 实 现 了 内 网 访问 外 网 。 


1#ping 200.10.1.2 


ype escape sequence to abort. 
lending 5, 100-byte ICMP Echos to 200.10.1.2, timeout is 2 seconds: 


juccess rate is 100 percent (5/5), round-trip min/avg/max = 20/33/76 ms 


图 3-7-32 ping 外 网 


(6) 实现 外 网 访问 DMZ 区 域 的 Web 服务 器 ,配置 防火 墙 的 反 向 NAT。 
(D 配置 命令 分 析 : 

允许 外 网 访问 dmz 的 80 端口 的 配置 命令 为 : 

acoess- list 100 permit tcp any host 202.101.1.1 eq 80 

将 DMZ 区 域 的 Web 发 布 到 公 网 上 的 配置 命令 为 : 


acoess- group 100 in interface outside 
Static (inside,outside) tcp interface www 10.1.1.2 www network 255.255.255.255 


© 在 防火 墙 上 进行 配置 ,如 图 3-7-33 所 示 。 


ixfirewall(config)f access-list 100 permit tcp any host 200.10.1.1 eq 80 
ING: «100» found duplicate element 

ixfirewall(config)# access-group 100 in interface outside 

ixfirewall(config)f $ interface www 10.10.1.2 www network 255.255.255.255 


图 3-7-33 防火墙 配 置 
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(7) 防火 墙 流量 限制 配置 。 
CD 流量 限制 为 512k/s, 配 置 命令 如 下 : 


pixfirewall (config)#priority- queue outside 
pixfirewall (config- priority- queue) £queue- limit 512 


© 在 防火 墙 上 进行 配置 ,如 图 3-7-34 所 示 。 


图 3-7-34 防火墙 配 置 


3.7.8 实验 思 
硬件 防火 墙 与 软件 防火 墙 之 间 的 区 别 是 什么 ? 


3.8 人 侵 检测 


3.8.2 实验 目的 

入 侵 检 测 系统 通过 检查 操作 系统 的 审计 数据 或 网 络 数 据 包 信息 ,检测 系统 中 违背 安 
全 策略 或 危及 系统 安全 的 行为 或 活动 ,从 而 保护 信息 系统 。 通 过 实验 ,使 学 生 认识 入 侵 检 
测 的 重要 作用 ,了 解 入 侵 检测 系统 的 类 型 .工作 原理 和 常用 产品 ,掌握 网 络 人 侵 检测 系统 
的 规划 ,配置 、 使 用 方法 。 
3.8.3 题目 描述 

在 Windows 操作 系统 下 配置 并 使 用 Snort 进行 人 侵 检测 。 
3.8.4 实验 要 求 

能 够 配置 Snort 入 侵 检测 系统 ,利用 Snort 规则 库 进 行人 侵 检 测 。 


3.8.5 相关 知识 


Snort 是 一 个 强大 的 轻 量 级 的 网 络 入侵 检测 系统 。 它 具有 实时 数据 流量 分 析 和 日 志 
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IP 网 络 数据 包 的 能 力 ,能 够 进行 协议 分 析 , 对 内 容 进行 搜索 /匹配 。 它 能 够 检测 各 种 不 同 
的 攻击 方式 ,对 攻击 进行 实时 报警 ,还 具有 很 好 的 扩展 性 和 可 移植 性 。 此 外 ,这 个 软件 遵 
循 通用 公共 许可 证 (GPL) ,所 以 只 要 遵守 GPL 的 任何 组 织 和 个 人 都 可 以 自由 使 用 。 

(1) Snort 是 一 个 轻 量 级 的 人 侵 检 测 系统 。 

Snort 虽然 功能 强大 ,但 是 其 代码 极为 简洁 、 短 小 ,其 源 代码 压缩 包 只 有 大 约 110KB。 

(2) Snort 的 可 移植 性 很 好 。 

Snort 的 跨 平台 性 能 极 佳 ,目前 已 经 支持 Linux, Solaris, BSD, IRIX, HP-UX 和 
WinY2K 等 系统 。 

(3) Snort 的 功能 非常 强大 。 

Snort 具有 实时 流量 分 析 和 日 志 IP 网 络 数据 包 的 功能 ,能 够 快速 检测 网 络 攻击 ,及 
时 发 出 报警 。Snort 的 报警 机 制 很 丰富 ,例如 syslog .用户 指 定 的 文件 一 个 UNIX 套 接 
字 , 还 能 使 用 SAMBA 协议 向 Windows 客户 程序 发 出 WinPopup 消息 。 利 用 XML 插 
件 ,Snort 可 以 使 用 简单 网 络 标记 语言 (Simple Network Markup Language, SNML) 把 日 
志 存 储 到 一 个 文件 中 或 者 适时 报警 。 

Snort 能 够 进行 协议 分 析 、 内 容 搜索 /匹配 。 现 在 Snort 能 够 分 析 的 协议 有 TCP. 
UDP 和 ICMP ,将 来 可 能 提供 对 ARP,.ICRP,GRE,OSPF,RIP,IPX 等 协议 的 支持 。 它 能 
够 检测 多 种 方式 的 攻击 和 探测 ,例如 缓冲 区 溢出 ,秘密 端口 扫描 、CGI 攻击、SMB 探测 、 探 
测 操 作 系 统 指 纹 特征 的 企图 等 。 

Snort 的 日 志 格式 既 可 以 是 tepdump 式 的 二 进 制 格式 ,也 可 以 解码 成 ASCII 字符 形 
式 , 更 加 便于 用 户 尤 其 是 新 手 检查 。 使 用 数据 库 输出 插件 ,Snort 可 以 把 日 志 记 入 数据 
库 , 当 前 支持 的 数据 库 包 括 Postgresql、MySQL ,任何 unixODBC 数据 库 , 还 有 Oracle( 对 
Oracle 的 支持 目前 处 于 测试 阶段 )。 

使 用 TCP 流 插件 (tcpstream) , Snort 可 以 对 TCP 包 进 行 重组 。Snort 能 够 对 IP 包 
的 内 容 进行 匹配 ,但 是 对 于 TCP 攻击 ,如 果 攻 击 者 使 用 一 个 程序 ,每 次 发 送 只 有 一 个 字 节 
的 TCP 包 ,完全 可 以 避 开 Snort 的 模式 匹配 。 而 被 攻击 的 主机 的 TCP 协议 栈 会 重组 这 
些 数据 ,将 其 送 给 在 目标 端口 上 监听 的 进程 ,从 而 使 攻击 包 逃 过 Snort 的 监视 。 使 用 TCP 
流 插件 ,可 以 对 TCP 包 进 行 缓冲 ,然后 进行 匹配 ,使 Snort 具备 对 付 上 面 这 种 攻击 的 
能 力 。 

使 用 spade(Statistical Packet Anomaly Detection Engine) 4fi fF , Snort 能 够 报告 非 正 
常 的 可 疑 包 ,从 而 对 端口 扫描 进行 有 效 的 检测 。 

Snort 还 有 很 强 的 系统 防护 能 力 。 使 用 FlexResp 功能 , Snort 能 够 主动 断 开 恶意 
连接 。 

(4) 扩展 性 能 较 好 ,对 于 新 的 攻击 威胁 反应 迅速 。 

作为 一 个 轻 量 级 的 网 络 入 侵 检 测 系统 ,Snort 有 足够 的 扩展 能 力 。 它 使 用 一 种 简单 
的 规则 描述 语言 。 最 基本 的 规则 只 包含 4 个 域 : 处 理 动作 ,协议 ,方向 和 注意 的 端口 。 例 
如 log tcp any any—>10. 1. 1. 0/24 79。 还 有 一 些 功能 选项 可 以 组 合 使 用 ,实现 更 为 复杂 的 
功能 。 
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Snort 支持 插件 ,可 以 使 用 具有 特定 功能 的 报告 .检测 子 系统 插件 对 其 功能 进行 扩 
展 。Snort 当前 支持 的 插件 包括 数据 库 日 志 输 出 插件 、 碎 数据 包 检测 插件 、 端 口 扫描 检测 
插件 .HTTP URI normalization 插件 和 XML 插件 等 。 

Snort 的 规则 语言 非常 简单 ,能够 对 新 的 网 络 攻击 做 出 很 快 的 反应 。 发 现 新 的 攻击 
后 ,可 以 很 快 根据 Bugtraq 邮件 列表 找 出 特征 码 , 写 出 检测 规则 。 因 为 其 规则 语言 简单 ， 
所 以 很 容易 上 手 ,节省 人 员 的 培训 费用 。 

(5) 遵循 公共 通用 许可 证 GPL. 

Snort 遵循 GPL ,所 以 任何 企业 .个 人 和 组 织 都 可 以 免费 使 用 它 作为 自己 的 NIDS, 


3.8.6 实验 设备 


硬件 环境 : 主流 配置 PC 3 台 

操作 系统 : Windows XP 工具 手段 : 开源 的 工具 软件 及 其 支持 附件 : 

(1) WinPcap 3 0. exe: Windows 下 捕获 网 络 数 据 包 的 驱动 程序 库 , http://www. 
winpcap. org/。 

(2) Snort_2_4_5_Installer. exe: 将 其 捕获 的 数据 发 送 至 数据 库 , http://www. 
snort. org/。 

(3) appserv-win32-2. 4. 1. exe: 可 快速 建立 Apache/PHP/MySQL 环境 , http:// 
www. appservnetwork. com/? modules= &-applang-— tw. 

(4) acid-0. 9. 6b23. tar. gz: PHP 网 页 模式 的 入 侵 侦 测 数据 库 分 析 控 制 台 ,http:// 
www. cert. org/kb/acid/ 。 

(5) adodb461. zip: PHP 数据 库 链 接 库 «http: //adodb. sourceforge. net/ 。 

(6) jpgraph-l. 17. tar. gz: Object-Oriented 图 形 链接 库 For PHP, http://www. 
aditus. nu/jpgraph/ 。 


3.8.7 实验 步骤 


OD 检查 使 用 的 计算 机 的 Windows 操作 系统 是 否 安装 TIS. 

如 果 安 装 ,需要 卸载 。 方 法 如 下 : 打开 “控制 面板 ”>“ 增 加 或 删除 程序 ”, 选 择 “ 增 加 
或 删除 Windows 组 件 ”。 如 果 Internet 信息 服务 (IIS) 的 选项 框 处 于 选中 状态 ,如 图 3-8-1 
所 示 , 则 取消 对 “Internet 信息 服务 (IIS) ?选项 框 的 选中 , 单 击 * 下 一 步 ? 按 钮 ,根据 向 导 进 
fr US 的 印 载 。 缉 载 完 成 后 ,出 现 完成 画面 ,如 图 3-8-2 所 示 , 单 击 “ 完 成 ”按钮 退出 印 载 ， 
然后 退出 “增加 或 删除 程序 ”和 “控制 面板 ”, 准 备 进 行 Apache/PHP/MySQL 环境 的 
安装 。 

(2) 安装 AppServ。 

(D 运行 appserv-win32-2. 4. 1. exe, 根 据 安装 向 导 提 示 进 行 安装 ,如 图 3-8-3 所 示 。 

© 安装 过 程 中 需 输 入 Apache HTTP Server Information. ,根据 实际 需求 填写 , 如 
图 3-8-4 所 示 。 
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可 以 添加 或 出 除 Vindows XP 的 组 件 . 


n "a 灰色 框 表示 只 会 安装 该 组 件 的 


Internet 信息 服务 (IIS) 
|? glosa ok Express 00m 


oom gj 
从 「 开 始 ] SRTOSLIISDURCIÉAON. Internet Explorer 的 访问 


THBIEB 0. 


图 3-8-1 "Windows 组 件 向 导 ” 界 面 


FUR “Windows 组 件 向 导 ” 


您 已 成 功 地 完成 了 Windows HAS. 


请 单 击 “ 完 成 ”来 关闭 此 向 导 。 


图 3-8-2 “Windows 组 件 向 导 ” 界 面 


E AppServ 2.4.6 Setup 


ead 


Welcome to the AppServ 2.4.6 
Setup Wizard 


This wizard wil guide you through the installation of AppServ 
2446. 


It is recommended that you close all other applications 
before starting Setup. This wil make it possible to update. 
relevant system files without having to reboot your 
computer. 


(ick Next to continue. 


COMPUTE 


wm appservnetwork: Comal 


图 3-8-3 AppServ 安装 界面 
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AppServ 2.4.6 Setup 


Apache HTTP Server Information 
Please enter your server's information. 


图 3-8-4 AppServ 输入 Apache HTTP server Information 界面 


© 安装 过 程 中 需 输入 MySQL 中 的 Root 用 户 密码 ,如 图 3-8-5 所 示 。 本 实例 以 填写 
123456 为 例 , 后 续 关 于 该 用 户 登 录 , 均 采用 该 密码 。 


3-8-5 AppServ 输入 MySQL Server Configuration 界面 


@ 在 安装 过 程 中 若 有 防火 墙 了 予以 拦截 ,应 选择 允许 通过 该 服务 ,直至 安装 结束 。 安 
装 结束 后 可 以 选中 Start Apache, Start MySQL 两 个 选项 ,如 图 3-8-6 所 示 。 

(3) 打开 Apache Monitor。 

操作 : 打开 “开始 ”一 “所 有 程序 ”> AppServ—>Control Server by Service Apache 
Monitor, 即 可 在 运行 框 中 看 到 Apache 的 运行 图 标 了 ,如 图 3-8-7 所 示 。 

(4) 检测 安装 是 否 成 功 。 

打开 IE 浏览 器 ,输入 http://127.0.0.1/, 成 功 安装 出 现 图 3-8-8 所 示 界 面 。 

(5) 登录 MySQL 数据 库 。 

(D 打开 I 下 浏览 器 ,输入 http://127.0.0.1/, 单 击 phpMyAdmin Database Manager 
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AppServ 2.4.6 Setup 


Completing the AppServ 2.4.6 Setup 
Wizard 


AppServ 2.4.6 has been installed on your computer. 


E Click Finish to dose this wizard. 
P 
[ES CETT 
mR IV. Btart Apache! 
PIS 网 Start My5QL 
LAE 
= 
[下 GD 
EN D Y, 
e 


The AppServ Open Project - 2.4.6 for Windows 


phpMyAdmin Database Manager Version 2.82 
PHP Information Vorsion 442 


‘About Ansin Varsan 2-48 Lc Wands 
AppServ 13 a merging open source somware staller poch age for Windows cludes 


3-8-8 The AppServ Open Project 


Version 2. 8. 2 出 现 登录 对 话 框 。“ 用 户 名 ”输入 “root”,“ 密 码 " 输 入 “123456”( 安 装 时 输 
入 的 MySQL root 用 户 密码 ) ,如 图 3-8-9 所 示 。 

© 单 击 “ 确 认 ” 按 钮 即 可 进入 phpMyAdmin ,界面 如 图 3-8-10 所 示 。 

(6) 检查 allow_call_time_pass_reference 设置 。 

打开 C:\Windows (Win 2000 下 为 C: \winnt) NT 开启 php. ini 这 个 档案 ,寻找 
allow_call_time_pass_reference 查看 其 设置 , 若 allow call time pass reference— Off 字 
符 串 OE HE PE allow call time pass reference— On 后 ,存档 离开 。 若 需要 修改 , 则 双 
击 右 下 角 的 Apache Monitor, 按 下 Restart 按钮 重新 加 载 php. ini, 如 图 3-8-11 所 示 。 
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图 3-8-10 phpMyAdmin 


Apache Service Monitor 


Start | 


的 


zi Services | 
eme | 
Disconnect | 
司 te | 


x 


Japachej2.0.58 (Win32) PHP/4.4.2 


图 3-8-11 Apache Service Monitor 


(7) 测试 Apache 安装 是 否 正确 。 
打开 IE, 输 入 http://192.168.1.16, 出 现 图 3-8-12 所 示 内 容 。 


[https//192. 168.1, L6] 
The AppServ Open Project - 24.6 for Windows 


BB phpMyAdmin Database Menagor Version 2.8.2 
PHP Information Version 4.4.2 


AboddApcSoreVerson 2 Abtor Windows 
AppSevis amerging open scurce somere instalar package for Windows inluses: 


* Apache Web Server Version 2.058 
* PHP Script Language Version 442 

+ MySOL Database Version 5.0.22 

+ phpMyAdmin Database Manager Version 8.2 


* ChangeLog 
* README 
* AUTHORS 
* COPYING 
wwAppServNeworkcom 


Chango Language :EE Sl 
S Easy way to bulld Webserver, Database Server with AppServ :-) 


图 3-8-12 The AppServ Open Project 


(8) 在 MySQL 中 建立 Snort 数据 库存 储 Snort 系统 的 信息 方法 如 下 : 


(D 首先 登录 phpMyAdmin. 然后 单 击 数据 库 , 进 入 MySQL 数据 库 , 如 图 3-8-13 


所 示 。 


©- i9 i2 «| Er Ze 


MySQL — 5.0.22-community-nt- phpMyAdmin - 2. 8. 2 

urs  NySQL client version; 3.23.49 
> Protocol version: 10 > Used FEP extensions: mysql 
BIRAM: localhost via TCP/IP Language O: 
b RIF: roct@localhost [ex-Chnes smelted — Ej 
[hysa R: UTF-S Unicode (utte) SZA / hi: [ow E 
hysa EA: [ae uoa E — Sphemyadnin 文档 

e Gpnehyadnin 官方 网 站 

mob rese o * [changelog] [cvs] [Liste] 
ws 

OEF rysa 的 运行 信息 

OEF tsa HFA © 


A WARE PHP 的 扩展 设置 abatring， 而 当 首 系统 好 像 在 使 用 高 字符 集 。 没 有 nbstrins FRN 
phplyadain 不 能 正确 识别 字符 溃 ， 可 能 产生 和 趟 可 总 村 的 结 打 - 


3-8-13 phpMyAdmin 
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图 3-8-14 phpMyAdmin 创建 数据 库 


O 然后 导入 数据 表 脚 本 。 单 击 Import. 如 图 3-8-15 所 示 。 
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3-8-15 phpMyAdmin 数据 库 : Snort 


QD 单 击 “ 浏 览 ” 按 钮 ,找到 create mysalCSnort 提供 ,光盘 中 自 带 ) 文 件 , 单 击 “ 执 行 ” 
按钮 ,为 Snort 数据 库 创建 所 有 的 数据 表 , 如 图 3-8-16 所 示 。 
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3-8-16 phpMyAdmin 数据库: snort-Import 


© 执行 结果 如 图 3-8-17 所 示 。 


EEC 


图 3-8-17 phpMyAdmin 数据 库 : snort-Import 执行 结果 


(9) 设置 MySql 数据 库 用 户 。 
(D 单 击 “ 服 务 器 : localhost” 后 单 击 “ 权 限 ” 按 钮 ,如 图 3-8-18 所 示 。 


jage 


BEA TE pe 
Ü SMALLINT T atu, Vim e [x dnd ME ep iani 
PUR EG NALE EE do 
LAE e nca are a en ra HR ar Nn sies 


© 选择 “添加 新 用 户 ” 为 Snort 入 侵 检 测 系统 建立 数据 库 用 户 , 如 图 3-8-19 Bron o 


© 根据 Snort 入侵 检测 系统 仅 使 用 Snort 数据 库 , 所 以 设置 Snort 用 户 权 限 如 下 : 


97 上 一 
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MySQL — 5.0.22-community-nt- phpMyAdmin - 2.8.2 
1 
ES > MySQL client version: 3.23.49 
+ Protocol version: 10 > sed PHP exterstons: aysal 
BEZE: localhost vie TCP/IP Language. 
> RÉP: root@localhost 
Eys AFR: wrw-8 Unicode (utra) — BE / Mi: [onsnal s 
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图 3-8-18 phpMyAdmin 
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图 3-8-19 phpMyAdmin 权限 


用 户 名 : SnortUser. 
密码 : 123456。 
无 须 设置 全 局 权限 , 单 击 “ 执 行 ”按钮 ,如 图 3-8-20 所 示 。 


图 3-8-20 phpMyAdmin 权限 添加 新 用 户 


CD. 进入 接 下 来 的 界面 ,在 “ 按 数 据 库 指定 权限 组 ”选项 框 中 选择 Snort 数据 库 , 单 击 
“执行 ”按钮 ,如 图 3-8-21 所 示 。 


3-8-21 “ 按 数据 库 指定 权限 组 ”选项 框 


© 在 “ 按 数 据 库 指定 权限 ”选项 框 中 选择 所 有 的 数据 、 结 构 和 管理 的 所 有 权限 , 单 击 
“执行 ”按钮 ,如 图 3-8-22 所 示 。 
© 在 单 击 权 限时 即 可 见 具体 的 用 户 权限 ,如 图 3-8-23 所 示 。 
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3-8-23 phpMyAdmin 服务 器 权限 


(D 单 击 SnortUser 后 的 “编辑 ”, 可 见 SnortUser 用 户 的 权限 ,如 图 3-8-24 所 示 o 
(10) 安装 acid。 
解压 缩 acid-0. 9. 6b23. tar. gz 至 C:\Appserv\www\acid 目录 中 。 


(11) 安装 jpgraph。 
解压 缩 jpgraph-1. 20. 5. tar. gz 至 C:\Appserv\php\jpgraph 目录 中 。 


图 3-8-24 phpMyAdmin SnortUser 用 户 权限 


(12) 配置 acid。 
编辑 Cis \ Appserv \ www \ acid \ acid_conf. php 档案 如 下 (利用 寻找 功能 去 修改 字 
HH. 


STBlib path= "c:\appserv\php\adadb" 
Salert doname= "snort"; 

Salert host- "localhost"; 

Salert port- "; 

Salert user- "root"; 

Salert password- "123456"; 


Sarchive doname- "snort"; 
Sarchive host- "localhost"; 
Sarchive port- ""; 

Sarchive user- "root"; 
Sarchive password- "123456"; 


SchartLib path= "C:\AgpServ\ php \ jparach\ sre"; 

(13) 建立 acid 所 需要 的 数据 库 。 

使 用 IE iE A http://localhost/acid/acid db setup. php。 依 照 页 面 提示 单 击 Create 
ACID AG 按钮 建立 即 可 ,如 图 3-8-25 所 示 。 

(14) 检测 acid 的 安装 情况 。 

打开 IE, 访 问 http://localhost/acid/ ,安装 成 功 界面 如 图 3-8-26 所 示 。 
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图 3-8-26 Acid Analysis Console for Intrusion Databases 


(15) 安装 WinPcap。 

打开 WinPcap 3 0. exe, 根 据 向 导 安 装 即 可 。 

(16) 安装 Snort。 

打开 Snort 2 4 5 Installer. exe, 根 据 向 导 安 装 , 并 采用 默认 目录 安装 C:\Snort, 如 
图 3-8-27 所 示 o 

(17) 测试 Snort 的 安装 情况 。 

方法 : 打开 command 窗口 ,输入 两 条 命令 。 


ad c: Vsnort bin snort -v 


将 出 现 大 量 检 测 数据 ,如 图 3-8-28 所 示 。 


——————— ——7102 


BE 


Choose Install Location 一 
Choose the folder in which to install Snort 2.4.5. (9 


Setup will install Snort 2.4.5 in the following folder. To install in a different folder, click Browse 
and select another folder. Click Next to continue. 


Space required: 6.7MB 
Space available: 8.1GB 


图 3-8-27 Snort 安装 向 导 


93 TECE 82:14800 
B DgnLen:48 DF 
FEC Win: @xFFFF TcpLen: 2 


2802 IpLen J 
Ack: 0x92 Min: ØxFFFF TcpLen: 


182:14808 192 .168.1.16:3039 
20 DgnLen:1488 DF 


JF871 Win: @xFF TepLen: 


939 60.16 2.182 :14888 
8 DgnLen:48 DF 
6AGF3 Win: @xFFFF TepLen: 


9:48.598584 218 158.114:64605 192.168.1.16:21072 
TOS Ox 7 IpLen:28 DgnLer DF 
in: @xF911 TcpLen: 


图 3-8-28 Snort-v 运行 结果 1 


T& Ctrl 十 C 组 合 键 终止 检测 。 可 看 到 检测 统计 信息 ,如 图 3-8-29 所 示 。 

(180. 加 载 规则 库 。 

解压 snortrules-pr-2. 4. tar. gz, 并 复制 rules 目录 到 C:/Snort/ 目 录 下 覆盖 原 有 的 
rules, 

(19) 配置 snort. conf 文件 。 

打开 C:\Snort\etc\snort. conf 文件 ,编辑 如 下 : 


var RUIE PATH c:VsnortVrules // 给 出 rules 的 位 置 
var HOME NET any //any 改 成 本 机 器 IP: 192.168.1.16/24 


《网 络 安全 综合 实践 教程 》 


var HTTP PORTS 80 // 根 据 自 身 设 置 修改 


#output database: log,mysql,user- root password- test doname- db host= localhost 

#output database: alert,postgresql,user- snort doname= snort 

// 去 掉 #, 根 据 自身 设置 修改 

// 本 例 为 

output database: log,mysql,user- SnortUser password- 123456 doname= snort host= 192.168.1.16 (MySQL 数据 
库 安装 的 机 器 IP) 

output database: alert, mysql,user= SnortUser password- 123456 dbname- snort host= 192.168.1.16 (MySQL #t 
据 库 安装 的 机 器 IP) 


\WINDOWS \system32\cmd.exe 


999» 
889» 
ES 
809» 
899» 
809» 
«9.809» 
890x> 
-866x> 


TCP TTL:118 TOS:@x@ I 2 20 DgnLen:1488 DF 
: @xiC46F: DIN SE@ Win: @xFEE3 TcpLen: 2 


: @xiC46E368 Win: @xFFFF TcpLen 


Snort \bin 


图 3-8-29 Snort-v 运行 结果 2 


(20) 建立 运行 Snort 批 处 理 文件 。 

在 C:/Snort/bin 目录 下 建立 runsnort. bat, 在 文件 中 输入 “Snort -c"c:\snort\etc\ 
snort. conf" -l"c:\snort\log" -d -e -X”( 注 ; 若 数 据 库存 储 有 误 , 可 增加 参数 -U ,该 问题 由 
snort 版 本 不 同 引 起 )。 

然后 在 C:/Snort/bin 目录 下 运行 runsnort, 即 可 根据 配置 运行 Snort 入 侵 检 测 系 统 。 

测试 效果 : 可 以 通过 IE 输入 http://192. 168. 1. 16/acid 观察 检测 结果 ,如 图 3-8-30 
所 示 。 


3.8.8 实验 思考 


入 侵 检查 系统 的 误 报 和 漏 报 是 怎样 产生 的 ? 误 报 率 和 漏 报 率 二 者 之 间 的 关系 怎样 ? 
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3-8-30 http: //192. 168. 1. 16/acid 运行 结果 


3.9 Internet 服务 器 安全 
3.9.1 实验 类 型 
综合 型 ,4 学 时 , 必 选 实验 。 
3.9.2 实验 目的 
通过 实验 ,使 学 生 能 够 对 Internet 服务 器 进行 安全 的 配置 与 管理 。 
3.9.3 题目 描述 
对 Windows Server 2003 Web 服务 器 进行 安全 加 固 。 
3.9.4 实验 要 求 
能 够 配置 比较 安全 的 Web 服务 器 。 
3.9.5 相关 知识 


所 谓 * 兵 马 未 发 ,粮草 先行 ”, 在 安装 和 配置 一 个 Internet 服务 器 之 前 ,首先 要 从 思想 
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上 对 安全 工作 有 个 全 局 认识 ,至 少 应 该 考虑 好 以 下 几 个 方面 的 内 容 。 

1) 编制 计划 

编制 安装 计划 的 过 程 本 身 就 可 以 作为 一 篇 论文 深 加 论 述 , 这 里 只 做 概要 介绍 。 保 护 
Internet 服务 器 安全 需要 详尽 的 计划 ,这 不 是 指 在 安装 过 程 中 弹出 菜单 时 确定 选择 哪 一 个 项 
目 , 而 是 要 仔细 确定 系统 的 功能 和 目标 ,最 终 成 为 安装 的 路 标 、 排 除 故障 的 向 导 、 服 务 器 安装 
及 网 络 边界 情况 的 基础 文档 。 如 果 需 要 安装 计划 编制 方面 的 基础 性 方针 资料 ,可 以 参考 
RFC 手册 之 2196 项 “站 点 安全 手册 ”, 地 址 是 http: //www. faqs. org/rfcs/rfc2196. html. 

2) 设计 策略 

除了 确定 服务 器 将 执行 哪些 功能 ,还 需要 确定 谁 能 访问 服务 器 、 在 服务 器 上 存储 什么 
数据 以 及 在 出 现 各 种 情况 时 应 该 采取 哪些 措施 。 这 就 是 策略 的 制订 。 实 际 上 ,策略 定义 
了 一 个 组 织 的 服务 器 与 接受 它 的 服务 和 数据 的 Internet 公众 之 间 的 交互 作用 细节 。 真 正 
安全 的 站 点 必须 具有 适当 的 策略 。 关 于 策略 的 设计 ,同样 请 参考 REC 手册 之 2196 项 “站 
点 安全 手册 ”。 

3) 访问 控制 

这 方面 是 指 对 服务 器 的 访问 权 ,主要 包括 三 类 。 

(1) 物理 访问 控制 : 指 实际 接触 和 操作 服务 器 控制 台 的 能 力 。 如 果 攻 击 者 取得 了 物 
理 访 问 权 ,就 可 以 绕 过 许多 安全 措施 ,整个 安全 计划 将 出 现 一 个 大 大 的 漏洞 。 

(2) 系统 访问 控制 : 确定 哪些 组 或 个 人 账号 对 系统 拥有 何 种 权限 ,例如 备份 和 恢复 
数据 .向 Web 服务 器 发 布 文档 .管理 账户 或 组 。 

G) 网 络 访问 控制 : 网 络 访问 控制 规定 了 内 部 网 与 Internet 相互 作用 的 权限 ,例如 端 
口 访问 .数据 读 取 、 服 务 使 用 等 。 不 仅 要 考虑 到 外 部 的 入 侵 行 为 ,还 要 设想 到 内 部 的 敌人 
攻击 。 为 此 ,一 般 将 服务 器 放 在 DMZ 区 域内 。 一 个 DMZ(Demilitarized Zone) 就 是 一 个 
孤立 的 网 络 , 可 以 把 不 信任 的 系统 放 在 那里 。 例 如 ,希望 任何 人 都 能 访问 Web 和 E-mail 
服务 器 ,所 以 它们 就 是 不 能 信任 的 ;将 它们 放 在 DMZ 中 特别 关照 ,就 可 对 来 自 内 部 和 外 
部 的 访问 都 进行 限制 。 


3.9.6 实验 设备 
主流 配置 PC 一 台 ,Windows 2003 Server 操作 系统 ,网 络 环境 。 
3.9.7 实验 步骤 


(1) 安装 和 配置 Windows Server 2003。 

(D Jf —systemroot ^V System32Ncemd. exe 转移 到 其 他 目录 或 更 名 。 

@ 系统 账号 尽量 少 , 更 改 默认 账户 名 (如 Administrator) 和 描述 ,密码 尽量 复杂 。 

© 拒绝 通过 网 络 访问 该 计算 机 (匿名 登录 ;内 置 管理 员 账 户 ; Support, 38894520; 
Guest; 所 有 非 操作 系统 服务 账户 )。 

© 建议 对 一 般 用 户 只 给 予 读 取 权 限 ,而 只 给 管理 员 和 System 以 完全 控制 权限 ,但 这 
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样 做 有 可 能 使 某 些 正常 的 脚本 程序 不 能 执行 ,或 者 某 些 需 要 写 的 操作 不 能 完成 ,这 时 需要 
对 这 些 文件 所 在 的 文件 夹 权限 进行 更 改 ,建议 在 做 更 改 前 先 在 测试 机 器 上 作 测 试 ,然后 慎 
EEK., 

@ NTFS 文件 权限 设 定 (注意 文 件 的 权限 优先 级 别 比 文件 夹 的 权限 高 ), 如 表 3-9-1 所 示 。 


表 3-9-1 NTFS 文件 权限 设 定 


文件 类 型 建议 的 NTFS 权限 


CGI 文件 (. exe.. dll、. cmd、. pl) 脚 本 文件 (. asp) Everyone( 执 行 ) 
包含 文件 (. inc,. shtm、. shtml) 静态 内 容 (. txt, Administrators( 完 全 控制 ) 
. gif\. jpg.. htm,. html) System( 完 全 控制 ) 


t 操作 提示 : 右 击 需要 设 定 访问 权限 的 文件 夹 ,选择 “共享 和 安全 ”, 如 图 3-9-1 所 示 。 


常规 | 共享 RE [vo 共享 | 自 定义 | 


钥 或 用 户 名 称 (@); 
rap 


EFI CREATOR OWNER 
sistem 
GBvsers (GPOSAEASCOAIAFC\Wsers) 


添加 四 ). | LI | 
Administrators 的 权限 Œ) Sit 拒绝 
完全 控制 a n £ 
修改 回 n 
读 取 和 运行 回 口 
列 出 文件 夹 目录 回 口 
iR 回 口 
m a 


on 
特别 权限 或 高 级 设置 ， 请 单 击 “ 高 级 ”。 高 级 中 


图 3-9-1 设置 用 户 的 访问 权限 


© 禁止 C$ .D$ 一 类 的 默认 共享 。 

HKEY IOCAL MACHINEA SYSTEM CurrentControlSetA Services\ lanmanserver\parameter s AutoShareServer, REG - 

DWORD, 0x0 

。 操作 提示 : 单 击 “ 开 始 ” 菜 单 , 选 择 “ 运 行 ”, 在 输入 框 中 输入 “regedit” 后 按 Enter 
键 ,打开 “注册 表 编 辑 器 ”, 如 图 3-9-2 所 示 。 

步骤 @ 一 @ .四 一 思 按 此 操作 方式 进行 设置 。 

© 禁止 ADMIN $ 默认 共享 。 

HKEY IOCAL MACHINE\SYSTEM\ CurrentControlSet \ Services \ lanmanserver \ parameter s AutoShareWks, RHG_ 

DWORD, 0x0 

® 限制 IPC $ BRUGES 


HKEY IOCAL MACHINE\SYSTEM\CurrentControlset \Control\Lsa restrictanonymous REG DWORD 0x0 默认 
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PE MEE 
XAD RED SEW BERW HHW 


m- HKEY CURRENT CONFIG 


3-9-2 ”注册 表 编 辑 器 


Ox] 匿名 用 户 无 法 列举 本 机 用 户 列表 

0x2 匿名 用 户 无 法 连接 本 机 IPC $ 共享 

说 明 : 不 建议 使 用 0x2 ,否则 可 能 会 造成 一 些 服务 无 法 启动 ,如 SQL Server, 

© 仅 给 用 户 真正 需要 的 权限 ,权限 的 最 小 化 原则 是 安全 的 重要 保障 。 

O 在 “本 地 安全 策略 ”>“ 审 核 策略 ”中 打开 相应 的 审核 ,推荐 的 审核 是 : 

账户 管理 成 功 失败 

登录 事件 成 功 失败 

对 象 访问 失败 

策略 更 改 成 功 失败 

特权 使 用 失败 

系统 事件 成 功 失败 

目录 服务 访问 失败 

账户 登录 事件 成 功 失败 

审核 项 目 少 的 缺点 是 当 你 想 看 发 现 没有 记录 ;审核 项 目 太 多 不 仅 会 占用 系统 资源 ,而 
且 会 导致 你 根本 没 空 去 看 ,这 样 就 失去 了 审核 的 意义 了 。 

与 之 相关 的 是 : 在 “账户 策略 ”>“ 密 码 策略 ”中 设 定 如 下 : 

密码 复杂 性 要 求 启用 。 

密码 长 度 最 小 值 6 位 。 

强制 密码 历史 5 次 。 

最 长 存留 期 30 天 。 

在 “账户 策略 ”账户 锁定 策略 ”中 设 定 如 下 : 

账户 锁定 3 次 错误 登录 。 

锁定 时 间 20 分 钟 。 

复位 锁定 计数 20 分 钟 。 

。 操作 提示 : 单 击 “ 开 始 ” 菜 单 ,选择 “运行 ”, 在 输入 框 中 输入 “regedit” 后 按 Enter 

键 ,打开 “注册 表 编 辑 器 ”, 如 图 3-9-3 所 示 。 

(D 在 Terminal Service Configuration( 远 程 服务 配置 ) 一 权限 一 高 级 中 配置 “安全 审 

核 ”, 一 般 来 说 只 要 记录 登录 .注销 事件 就 可 以 了 。 
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和 i 本 地 安全 设置 BEES 
RHO MEW SEV 帮助 四 
e» omx Ree E 


we C) 软件 限制 策略 
DS r 安全 策略 ， 在 本 地 计算 机 


3-9-3 本 地 安全 策略 设置 


(2 解除 NetBios 与 TCP/IP 协议 的 绑 定 。 控 制 面 板 一 网 络 一 绑 定 一 NetBios 接口 一 


禁用 2000: 控制 面板 一 网 络 和 拨号 连接 一 本 地 网 络 一 属性 一 TCP/IP 一 属性 一 高 级 一 
WINS 一 禁用 TCP/IP 上 的 NETBIOS, 


O 在 网 络 连 接 的 协议 里 启用 TCP/IP 筛选 , 仅 开放 必要 的 端口 (如 80) 。 
(p 通过 更 改 注册 表 来 禁止 139 空 连接 。 
Local_Machine\ System\ CurrentControlset \Control\LSA- RestrictAnonymous= 1 

O 修改 数据 包 的 生存 时 间 (CTTL) 值 。 


HKEY IOCAL MACHINEA SYSTEM CurrentControlSetA Services VIcpip V Parameters DefaultTTL REG DWORD 0- Oxff 
(0- 255 十 进 制 ,默认 值 128) 


d» 防止 SYN 洪水 攻击 。 


HKEY LOCAL MACHINEN SYSTEM\ CurrentControlSetA Services VTcpipN Parameters SynAttackProtect REG DWORD 
0x2 (IA (S. 0x0) 


© 禁止 响应 ICMP 路 由 通告 报 文 。 


HKEY IOCAL MACHINE\SYSTEM\CurrentControlSet \Services\Tcpip\ Parameters\ Interfa ces\interface 
PerformRouterDisoovery REG DWORD 0x0 (BR iA MA 02) 


48 防止 ICMP 重 定向 报 文 的 攻击 。 


HKEY IOCAL MACHINEN SYSTEMN CurrentControlset \ Services \ Topip\ Parameters EnableICMPRedirects REG - 
DWORD 0x0 (B iA {EI 0x1) 


四 不 支持 IGMP 协议 。 


HKEY LOCAL MACHINE\SYSTEM\CurrentControlset\Services\Topip\Parameters IGMPLevel REG DWORD 0x0 (默认 
IEH 02) 


D 设置 arp 缓存 老化 时 间 设 置 。 
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HKEY IOCAL MACHINEA SYSTEM  CurrentControlSet V Services: \ Tepip\ Parameters ArpCacheLife REG DWORD 0- 
OxFFEFEFFF ( 秒 数 ,默认 值 为 120 8b ) 

ArpCacheMinReferencedLi fe REG DWORD 0- OxFFFFFFFF ( 秒 数 ,默认 值 为 600) 

D 禁止 死 网 关 监 测 技术 。 


HKEY LOCAL MACHINE \ SYSTEM\ CurrentControlSet \ Services: \ Tapip\ Parameters EnableDeadGiDetect REG | 
DWORD 0x0 (B I (ES. 0x1) 


O 不 支持 路 由 功能 。 


HKEY IOCAL MACHINE\ SYSTEM\ CurrentControlSet\ Servioes:\Tapip\ Parameters IPEnableRouter REG DWORD 0x0 
GIA AS. 0x0) 
(2) 安装 和 配置 IIS 服务 。 
D 仅 安 装 必要 的 IIS 组 件 ( 禁 用 不 需要 的 如 FTP 和 SMTP 服务 ) 。 
。 操作 提示 : 有 两 种 方法 如 下 。 
量 方法 一 : 单 击 “开始 "菜单 ,选择 “设置 ">“ 控 制 面板 ”>“ 添 加 或 删除 程序 ”>“ 添 加 / 
删除 Windows 组 件 ”>“ 应 用 程序 服务 器 ”, 按 提示 进行 安装 ,如 图 3-9-4 所 示 。 


indows 钥 件 向 导 


Tindos tPF = 
RIDERS. Windows 的 组 件 。 | By 


EUM T ULL E 
MFO: 

O SoH CRAFT ORS 6.4 mB 5] 
口 多 索引 服务 0.0 Nb 

口 Sa 网络 服务 2.6 MB 

BE YII iim xl 
描述 ; € ASP. WET, Internet 信息 服务 CTS) 和 应 用 程序 服务 器 控制 


所 需 磁盘 宝 间 : 3.1 MB 
可 用 磁盘 宝 间 : 17499. 4 MB wmo) 


mm | oce | 


Microsoft SQL Server Native Client 


[] Microsoft SQL Server VSS 编写 器 


图 3-9-4 通过 添加 或 删除 程序 安装 TIS 


BY: 双击 桌面 “管理 您 的 服务 器 ”快捷 方式 ,选择 “添加 或 删除 角色 ”, 如 
图 3-9-5 所 示 。 
出 现 “ 配 置 您 的 服务 器 向 导 ” 对 话 框 ,如 图 3-9-6 所 示 。 
单 击 “ 下 一 步 ”按钮 ,在 “配置 您 的 服务 器 向 导 ” 中 选择 “应 用 程序 服务 器 (1IS, ASP. 
NET)”, 单 击 “ 下 一 步 ” 按 钮 , 按 提 示 进 行 安装 ,如 图 3-9-7 所 示 。 
O 仅 启用 必要 的 服务 和 Web Service 扩展 ,推荐 配置 ,如 表 3-9-2 所 示 。 
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g ise 


~ 


管理 您 的 服务 器 角色 
使 用 在 这 里 找到 的 工具 和 信息 未 添加 或 器 除 角色 ,并 执 
GUQHEESES. 


"incitata o 


€) WiEXTIREÉSEOURE 
SEUSS A FAIR iE T RE 


a 应 用 程序 服务 器 


应 用 程序 服务 器 提供 构造 、 部 署 以 及 运行 XML ted ] " 
Rato 应 用 程序 和 分 式 应 用 程序 所 必须 的 核 E SSLEUSETRSH 
也 技术 。 应 用 程序 服务 器 技术 包括 ASP.NET, COM gy EX THAR SR 


图 3-9-5 ”管理 服务 器 方式 安装 TIS 


配置 你 的 服务 器 向导 


预备 步 要 
您 可 以 在 继续 之 前 通过 完成 下 列 步 村 来 确认 您 成 功 配置 了 服务 器 。 


在 继续 前 ， 请 确认 下 列 步 蓝 已 经 充 成. 

”安装 所 有 调制 解 调 器 和 网 卡 。 

e WEE REDE. 

”如 果 你 计划 使 用 此 服务 器 连接 Internet， 现 在 请 连接 到 Internet. 
”打开 所 有 外 围 设备， 例如 打印 机 和 外 部 驱动 器 。 

e 有 Windows Server 2003 安装 cD， 或 知道 网 络 安装 路 径 。 


单 击 “ 下 一 步 ” ,向 导 格 搜索 网 络 连 接 , 


Seo ww | wm | 


图 3-9-6 配置 服务 器 向 导 


配置 您 的 服务 器 向 导 


BA 
的 如 果 悠 想 在 此 服务 器 上 添加 一 个 以 上 的 角 
色 ,您 可 以 再 次 运行 此 向 导 ， 


EEN REEM ETEME, RECS EM. STUART. WRZ 
INHA C ARNE, MUSS NE 


应 用 程序 服务 器 (LIS ,ASP. WET) 


文件 服务 器 Ei 
SharePoint Services z 
打印 服务 器 Ei 此 服务 器 已 配置 为 应 用 程序 服务 器 


要 山 除 此 角色 ， 单 击 “ 下 一 步 ”。 


ISO. m B&B 
MERI active Director) 


s5cEBUDEZBAS" At 


<0 [E50] xm | wm 


图 3-9-7 选择 “应 用 程序 服务 器 ” 
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表 3-9-2 IIS 组件 配置 


UI 中 的 组 件 名 称 ”| 设置 设置 逻辑 
BITS 是 Windows Updates 和 “自动 更 新 ”所 使 用 的 后 台 文件 传输 机 
FROM Bg. | 启用 | 制 。 如 果 使 用 Windows Updates 或 "自动 更 新 "在 TIS 服务 器 中 自动 
应 用 Service Pack 和 热 修补 程序 , 则 必须 有 该 组 件 
公用 文件 启用 | Is 需要 这 些 文件 ,一 定 要 在 TIS 服务 器 中 启用 它们 
- m CETP) | 禁用 | 允许 11S 服务 器 提供 FTP 服务 。 专 用 IIS 服务 器 不 需要 该 服务 
FrontPage 2002 Server 禁用 为 管理 和 发 布 Web 站 点 提供 FrontPage 支持 。 如 果 没 有 使 用 


Extensions 


FrontPage 扩展 的 Web 站 点 ,请 在 专用 IIS 服务 器 中 禁用 该 组 件 


Internet 信息 服务 管 
理 器 


IIS 的 管理 界面 


提供 基于 Web 的 打印 机 管理 ,允许 通过 HTTP 共享 打印 机 。 专 用 


Internet IPE 禁用 | TS 服务 器 不 需要 该 组 件 
在 Internet 中 分 发 .查询 ,检索 和 投递 Usenet 新 闻 文 章 。 专 用 IIS 服 
NNTP RZ 禁用 | 务 器 不 需要 该 组 件 
SMTP 服务 禁用 | 支持 传输 电子 邮件 。 专 用 TIS 服务 器 不 需要 该 组 件 
动态 
让 用 | 为 客户 端 提供 Web 服务 .静态 和 动态 内 容 。 专 用 TIS 服务 器 需要 该 


组 件 


© 万 维 网 服务 子 组 件 如 表 3-9-3 所 示 。 


UI 中 的 组 件 名称 


安装 选项 


表 3-9-3 万 维 网 服务 子 组 件 配 置 
设置 逻辑 


Active Server Page 


启用 


提供 ASP 支持 。 如 果 TIS 服务 器 中 的 Web 站 点 和 应 用 程序 都 不 使 
用 ASP, 请 禁用 该 组 件 ; 或 使 用 Web 服务 扩展 禁用 它 


Internet 数据 连接 器 


通过 扩展 名 为 .ide 的 文件 提供 动态 内 容 支 持 。 如 果 IIS 服务 器 中 
的 Web 站 点 和 应 用 程序 都 不 包括 .ide 扩展 文件 ,请 禁用 该 组 件 ;或 
使 用 Web 服务 扩展 禁用 它 


远程 管理 (HTML) 


提供 管理 IIS 的 HTML 界面 。 改 用 TIS 管理 器 可 使 管理 更 容易 ,并 
减少 了 IIS 服务 器 的 攻击 面 。 专 用 IIS 服务 器 不 需要 该 功能 


远程 桌面 Web 连接 


包括 了 管理 终端 服务 客户 端 连接 的 Microsoft ActiveX 控件 和 范例 
页 面 。 改 用 IIS 管理 器 可 使 管理 更 容易 ,并 减少 了 TIS 服务 器 的 攻 
击 面 。 专 用 IIS 服务 器 不 需要 该 组 件 


服务 器 端 包括 


112 


提供 . shtm、. shtml 和 . stm 文件 的 支持 。 如 果 在 IIS 服务 器 中 运行 
的 Web 站 点 和 应 用 程序 都 不 使 用 上 述 扩展 的 包括 文件 ,请 禁用 该 
组 件 


ER 
UI 中 的 组 件 名 称 | 安装 选项 设置 逻辑 
WebDAV 扩展 了 HTTP/1. 1 协议 ,允许 客户 端 发 布 、 锁 定 和 管理 
WebDAV 禁用 | Web 中 的 资源 。 专 用 IIS 服务 器 禁用 该 组 件 ;或 使 用 Web 服务 扩 
展 禁用 该 组 件 
万 维 网 服务 启用 为 客户 端 提供 Web 服务 .静态 和 动态 内 容 。 专 用 IIS 服务 器 需要 该 


组 件 


CD 将 IIS. 目录 和 数据 与 系统 磁盘 分 开 , 保 存在 专用 磁盘 空间 内 。 
C) 在 IIS 管 理 器 中 删除 必须 之 外 的 任何 没有 用 到 的 映射 (保留 ASP 等 必要 映射 即 可 )。 
© Æ IS 中 将 HTTP404 Object Not Found 出 错 页 面 通过 URL 重 定 向 到 一 个 定制 


HTM 文件 。 


@ Web 站 点 权限 设 定 ( 建 议 ) 如 表 3-9-4 所 示 。 
表 3-9-4 Web 站 点 权限 设 定 


Web 站 点 权限 授予 的 权限 Web 站 点 权限 授予 的 权限 

读 允许 日 志 访 问 建议 关闭 

写 不 允许 索引 资源 建议 关闭 

脚本 源 访问 不 允许 执行 推荐 选择 “ 仅 限于 脚本 ” 
目录 浏览 建议 关闭 


建议 使 用 W3C 扩充 日 志文 件 格 式 , 每 天 记录 客户 IP 地 址 、 用 户 名 、 服 务 器 端口 、 方 
URI FAR, HTTP 状态 和 用 户 代理 ,而 且 每 天 均 要 审查 日 志 。( 最 好 不 要 使 用 默认 的 
目录 ,建议 更 换 一 个 记 日 志 的 路 径 , 同 时 设置 日 志 的 访问 权限 ,只 允许 管理 员 和 system 为 


Full Control, ) 


O 程序 安全 。 涉 及 用 户 名 与 口令 的 程序 最 好 封装 在 服务 器 端 ,尽量 少 地 出 现在 ASP 
文件 中 ,涉及 与 数据 库 连 接 的 用 户 名 与 口令 应 给 予 最 小 的 权限 ;需要 经 过 验证 的 ASP 页 面 
可 跟踪 上 一 个 页 面 的 文件 名 ,只 有 从 上 一 页 面 转 进来 的 会 话 才能 读 取 这 个 页 面 ; 防 止 ASP 
主页 . inc 文件 泄露 问题 ;防止 UE 等 编辑 器 生成 some. asp. bak 文件 泄露 问题 。 


(3) 安全 更 新 。 


应 用 所 需要 的 所 有 Service Pack 和 定期 手动 更 新 补丁 。 
(4) 安装 和 配置 防 病毒 保护 。 
(5) 安装 和 配置 防火 墙 保护 。 
(6) 监视 解决 方案 。 


根据 要 求 安装 和 配置 MOM 代理 或 类 似 的 监视 解决 方案 。 


(7) 加 强 数据 备份 。 
Web 数据 定时 做 备份 ,保证 在 出 现 问题 后 可 以 恢复 到 最 近 的 状态 。 
(8) 考虑 实施 IPSec 筛选 器 。 
用 IPSec 过 滤器 阻 断 端 口 。Internet 协议 安全 性 (IPSec) 过 滤器 可 为 增强 服务 器 所 需 
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要 的 安全 级 别提 供 有 效 的 方法 。 推 荐 在 高 安全 性 环境 中 使 用 该 选项 ,以 便 进 一 步 减 少 服 
务 器 的 受 攻击 面 。 

有 关 使 用 IPSec 过 滤器 的 详细 信息 ,请 参阅 模块 其 他 成 员 服 务 器 强化 过 程 。 表 3-9-5 
列 出 在 高 级 安全 性 环境 下 可 在 IIS 服务 器 上 创建 的 所 有 IPSec 过 滤器 。 


表 3-9-5 IPSec 过 滤器 设置 


服 务 协议 源 端口 目标 端口 源 地 址 目标 地 址 操作 镜像 
Terminal Services TCP 所 有 3389 所 有 ME 允许 是 
HTTP Server TCP 所 有 80 所 有 ME 允许 是 


3.9.8 实验 思 


(1) Internet 服务 器 的 安全 加 固 要 从 哪些 方面 考虑 ? 
(2) 怎样 拒绝 ASP 木马 ? 


3.10 网 络 安全 程序 设计 
3.10.1 实验 类 型 
设计 型 ,8 学 时 ,课外 自选 实验 。 
3.10.2 实验 目的 
掌握 简单 的 网 络 安全 程序 设计 方法 。 
3.10.3 题目 描述 
使 用 Window Raw Socket 技术 实现 端口 扫描 和 Web 服务 的 CGI 漏洞 扫描 。 
3.10.4 实验 要 求 


理解 Window Raw Socket 技术 特点 和 端口 扫描 技术 的 原理 ,编程 实现 端口 扫描 和 
CGI 漏洞 扫描 。 


3.10.5 相关 知识 


从 理论 上 说 ,任何 一 门 语言 都 可 以 在 任何 一 个 系统 上 编程 ,只 要 找到 该 系统 提供 的 
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“接口 ?和 对 系统 内 部 机 制 有 深入 的 了 解 就 可 以 了 。 正 如 C 语言 可 以 在 Windows 下 编程 ， 
也 同样 可 以 在 Linux 上 大 放 异 彩 一 样 。 

编程 是 一 项 很 繁杂 的 工作 ,除了 应 用 编程 工具 之 外 ,了 解 系统 本 身 内 部 工作 机 理 非常 
重要 ,这 是 写 出 稳定 兼容 的 程序 所 必 不 可 少 的 前 提 条 件 。 要 在 哪 一 种 系统 上 编程 ,就 要 对 
该 系统 的 机 制 进 行 研究 ,至 少 应 该 知道 一 个 程序 在 那个 系统 上 是 如 何 运 行 的 。 


1. 了 解 Windows 内 部 机 制 


Windows 是 一 个 “基于 事件 的 、 消 息 驱 动 的 "操作 系统 。 

在 Windows 下 执行 一 个 程序 ,只 要 用 户 进 行 了 影响 窗口 的 动作 (如 改变 窗口 大 小 或 
移动 . 单 击 等 ) ,该 动作 就 会 触发 一 个 相应 的 “事件 ”。 系 统 每 次 检测 到 一 个 事件 时 ,就 会 给 
程序 发 送 一 个 “消息 ”, 从 而 使 程序 可 以 处 理 该 事件 。 每 个 Windows 应 用 程序 都 是 基于 事 
件 和 消息 的 ,而 且 包 含 一 个 主事 件 循环 , 它 不 停 地 、 反 复 地 检测 是 否 有 用 户 事件 发 生 。 每 
次 检测 到 一 个 用 户 事件 ,程序 就 对 该 事件 做 出 响应 ,处理 完 再 等 待 下 一 个 事件 的 发 生 。 

Windows 下 的 应 用 程序 不 断 地 重复 这 一 过 程 , 直 至 用 户 终止 程序 ,用 代码 来 描述 实 
际 上 也 就 是 一 个 消息 处 理 过 程 的 while 循环 语句 。 


2. 编程 语言 以 及 工具 的 选择 


上 面 的 介绍 使 我 们 对 Windows 有 了 进一步 的 了 解 ,现在 就 该 开始 行动 了 ,选择 要 学 
的 语言 和 工具 是 第 一 步 ,而 且 是 非常 重要 的 一 步 工 作 , 建 议 一 切 以 简单 , 易 接 受 为 原则 ,不 
然 会 自信 心 大 减 的 。 


3.10.6 实验 设备 

主流 配置 PC,Windows 操作 系统 ,网 络 环境 ,Visual Studio 开发 平台 。 
3.10.7 实验 步骤 

实验 内 容 一 : 端口 扫描 器 实现 

一 个 扫描 器 通常 由 以 下 三 部 分 组 成 。 

1. 侦 听 线程 

侦 听 线程 负责 对 扫描 的 主机 返回 的 数据 包 进 行 侦 听 ,并 进行 分 析 , 得 出 扫描 结果 。 

DWORD WINAPT ListeningFunc (LPVOID Ipvoid) 

{ 

// 首 先 建立 一 个 原始 套 接 字 

SOCKET rawsock= socket (AF INET,SOCK RAW,IPPROTO IP); 

// 然 后 取得 本 机 的 下 地 址 ,确定 一 个 端口 绑 定 原始 套 接 字 


struct hostent * pHostent; 
char name[100]- (0); 
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gethostname (name, 100) ; 

pHostent- gethostbyname (name) 7 

// 把 本 机 下 地 址 复制 到 adir in.sin addr.s un.S addr "P 

memcpy(&addr in.sin addir.S un.S addr,pHostent— >h adir list[0],pHostent- >h length); 
I/R 

int ret-bind(rawsock, (struct sockaddr * )&addr in,sizeof (addr in)); 

// 设 置 SIO RCVALL: 接收 所 有 数据 包 

DWORD lpvBuffer=1; 

DWORD IpcbBytesRetumed= 0; 

WSAloctl(rawsock,SIO RCVALL, &lpvBuffer, sizeof (lpvBuffer) , NULL, 0, &1pd-BytesReturned, NULL, NULL) 7 
/* 接 下 来 ,使 用 一 个 死 循 环 来 不 断 地 捕获 接收 到 的 数据 包 , 分 析 如 果 是 存活 的 端口 返回 的 包 就 打 
印 出 来 ,不 是 则 放弃 ,继续 捕获 下 一 个 包 * / 

while (TRUE) 

{ 

SOCKADER. IN fraw {0}; 

int size- sizeof (fram); 

char RecvBuf [256]- {0}; 

// 接 收 数据 包 

ret= recvfram (rawsock, RecvBuf, sizeof (RecvBuf), 0, (struct sockadddr * ) &fram, &size);char * sourceip= 
inet ntoa(* (struct in addr* )&fram.sin addr);if (ret!= SOCKET ERROR) 

t 

// 分 析 数 据 包 

IPHEALFR * lpIPheader; 

lpIPheader- (IPHEATER * )RecvBuf; 

if (lpIPheader- > proto== IPPROTO TCP) 

t 

TCPHEADER * lpICPheader- (ICPHEALER * ) (RecvBuf+ sizeof (IPHEADER) ) 7 

/ [P Wi T AB e re 8 TT Mc 1 388 Fl f 3S 3 

if(üplCPheader- > th seq!- 0 && lpICPheader-» th flag-- 0x12) 

t 

// 如 果 是 ,就 从 TcP 头 中 取出 端口 信息 ,打印 出 来 

printf ("===%s:%d\n", souroeip, ntohs (lpICPHeader— > th sport)); 

} 

} 

} 

)//enà while 

H 


IPHEADER ffl TCPHEADER 结构 定义 如 下 : 


typedef struct ip head 
t 


unsigned char h verlen; //4 位 首部 长 度 ,4 位 下 版 本 号 
unsigned char tos; //8 位 服务 类 型 Tos 

unsigned short total len; //16 位 总 长 度 EA) 

unsigned short ident; //16 位 标识 


unsigned short frag and flags; ”//3 位 标志 位 (an SYN, ack F ) 


unsigned char ttl; //8 位 生存 时 间 TTL 


unsigned char proto; //8 位 协议 (ii IOP, TCP F ) 
unsigned short checksum; //16 位 下 首部 校 验 和 
unsigned int sourceIP; //32 位 源 TP Hb E 

unsigned int destIP; //32 位 目的 下 地 址 
}IPHEALER; 


USHORT th_sport; //16 位 源 端口 

USHORT th dport; //16 位 目的 端口 
unsigned int th seg; //32 位 序列 号 
unsigned int th ack; //32 位 确认 号 
unsigned char th lenres; //4 位 首部 长 度 /6 位 保留 字 
unsigned char th flag; /6 位 标志 位 

USHORT th win; //16 位 窗口 大 小 
USHORT th sum; //16 位 校 验 和 

USHORT th urp; //16 位 紧急 数据 偏 移 量 
)ICPHEADER; 

2. RARE 


如 何 构造 SYN 包 来 进行 发 送 是 发 包 程 序 的 内 容 , 有 两 种 方法 : 一 种 方法 是 自己 构造 
IP 头 和 TCP 头 , 然 后 自己 计算 校 验 和 ; 另 一 种 方法 是 采用 connect O PR CIS JH «301 81 JH 
就 隐 含 了 TCP 三 次 握手 ,在 第 一 次 握手 时 关闭 连接 ,这 样 也 能 发 送 SYN 包 。 这 里 采取 第 
二 种 方法 ,并 设置 套 接 字 为 非 阻塞 类 型 。 


DWORD WINAPT scan (LPVOID lp) 

{ 

SOCKET sock= NULL; 

SOCKADOR_IN addr in- (0); 

TCHAR SendBuf [256]- {0}; 

INFO * lpInfo- (INFO* )1p; 

int iE; 

ULONG ul- 1; 

USHORT port- lpInfo- » port; 

adir in.sin family-AF INET; 

addr in.sin port-htons (port); 

addr in.sin addr.S un.S adi lpInfo- > IP; 

if((sock-socket(AF INET,SOCK STREAM, IPPROTO_TCP))== INVALID SOCKET) 

printf ("socket setup error! An") ; 

iErr- ioctlsocket(sock,FIOBIO, (unsigned long* )&ul);  //i Et sock y 4k BASE 
connect (sock, (struct sockaddr* )&addr in,sizeof(adir in)); // 发 送 SYN f 
Closesocket (sock) ; 

return 0; 

} 
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INFO 为 自 定义 的 一 个 结构 ,用 于 存储 扫描 目标 地 址 和 端口 号 ,定义 如 下 : 


typedef struct info 
t 

ULONG IP; 

USHORT port; 

}INEO; 


3. 主 程序 
主 程序 主要 完成 从 命令 行 中 提取 IP 地 址 和 端口 然后 调用 发 送 函 数 。 


int main(int argc,char * argv[]) 

t 

WSADATA WSAData; 

INFO info= {0}; 

ULONG Start IP= 0,EndIP- 0; 

int number- 0; 

if (WSAStartup (MAKEWORD (2, 2) , &WSAData) != 0) 

{ 

printf ("int WSAStartup Error! An") ; 

retum 0; 

} 

// 创 建 一 个 侦 听 线程 来 分 析 接收 到 的 包 

CreateThread (NULL, 0, Li steningFunc, &tempnum, NULL, NULL) ; 

Sleep (500) ; // 等 待 线程 的 初始 化 完成 
StartIP- ntchl (inet. adir (argv[1])) ; 

EndIP= ntchl (inet_addr (argv[2])) + 

for (;StartIP< = EndIP;StartIP+ + ) /从 第 一 个 下 到 最 后 一 个 IP 
{ 

info.IP- htonl (StartIP); 

int Nam- ListNum; /TistNum 为 定义 的 端口 列表 的 长 度 
vhileNum -) 

{ 

info.port= PortList [Num] ; // 从 列表 中 取出 端口 值 

Scan (&info); // 对 目标 下 ,端口 发 送 SN 包 
} //end while 

} //end for 

Sleep (2000) ; // 等 待 两 秒 ,等 最 后 发 出 的 包 返 回 
printf ("Scan Camplete! Vn") ; 

retum 1; 

t 


实验 内 容 二 : CGI 漏洞 扫描 器 
1. 介绍 
漏洞 扫描 需要 针对 一 定 的 服务 来 进行 。 本 例 对 Web 服务 器 进行 CGI 漏洞 扫描 。 
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2. 原理 


CGI 扫描 需要 和 被 扫描 的 主机 的 S0 端口 (就 是 Web 服务 器 运行 的 端口 号 ) 建 立 连 
接 ,然后 提交 GET 请 求 , 再 根据 返回 的 信息 加 以 判断 。 如 果 返 回 200 表示 成 功 , 返 回 404 
表示 无 法 找到 指定 的 文件 ,返回 403 表示 文件 不 可 用 。 返 回 的 数据 形式 为 “HTTP/ 
1.1 200” 这 样 的 字符 串 。 


3. 实现 主 程序 


int main(int argc,char * argv[]) 

{ 

WSADATA WSAData; 

FILE * fp- NULL; 

// 打 开 漏洞 列表 文件 ,文件 的 内 容 为 "Gam_vti bin/shtm .ext" 等 osr 指 令 
fp- foen ("agi . 1st", "r") ; 

INFO info- (0); 

if (argc!- 2) retum 0; 

memcpy (info.IP,argv [1], strlen (argv[1])) ; 

printf ("Scan Start....\n"); 

// 从 文件 中 读 出 要 扫描 的 csr 信息 

while (fgets (info.sendbuf, 100, fp) !- NULL) 

{ 

HANDLE h= 0; 

h- CreateThread (NULL, 0, scan, &info, NULL, NULL) 7 // 创 建 一 个 线程 扫描 
if(h- - NULL) print f ("Create Thread Error! An") ; 

WaitForSingleCbject (h, INFINITE) ; // 等 待 一 次 扫描 结果 
memset (info.sendBuf, 0, 100) ; 

) 

printf ("Scan Camplete!Wn") ; 

) 


INFOR 结构 用 来 传递 CGI 指令 和 IP 信息 : 


typedef struct 

t 

char sendBuf [100]; 
char IP(20]; 
JINEOR 


4. 扫描 线程 


DWORD WINAPT scan (LPVOID Ip) 
{ 

SOCKET sock= NULL; 
SOCKADIR_IN target- (0); 
int error- 0; 

char buf [256]= {0}; 
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char * p- NULL; 

INFR * lpInfo- (INFOR* )1p; 

if((sock-socket(AF INET,SOCK STREAM, IPPROIO TCP))-— INVALID SOCKET) 
{ 

printf ("Socket Setup Error"); 

return FALSE; 

} 

target.sin family-AF INET;target.sin port- 
htons(80);target.sin addr.S un.S addr- 

inet addr(IpInfo- > IP); 

error- connect (sock, (struct sockaddr * )&target, sizeof (target) ) ; // 连 接 
if(error-- SOCKET FRROR) 

t 

printf ("Connect Error! Wn") ; 


return FALSE; 

H 

send (sock, IpInfo- > sendBuf, 100,0) ; // 发 送 GT 请 求 

recv (sock, buf, 256, 0); // 接 收 返回 的 信息 
p= strstr (buf, "HITP/1.1 200"); // 判 断 请 求 是 否 成 功 
if (p!=NULL) 


{ 

// 包 含 "HTTP/1.1 2005 FF E , 则 表示 有 相应 的 漏洞 

printf ("%s", IpInfo- > sendBuf) ; // 打 印 出 相应 的 漏洞 
} 

Closesocket (sock) ; 

retum 1; 

) 


3.10.8 实验 思考 


1. 端口 扫描 的 方法 有 哪些 ? 
2. ASP 网 站 的 安全 扫描 是 怎样 进行 的 ? 


3.11. 应 用 程序 保护 
3.11.1 实验 类 型 

设计 型 ,4 学 时 ,课外 自选 实验 。 
3.11.2 实验 目的 


通过 实验 ,使 学 生 了 解 应 用 程序 完整 性 鉴别 的 方法 、 注 册 方 法 等 。 
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3.11.3 题目 描述 

使 用 WinMD5 生成 散 列 值 保 护 程序 的 完整 性 ,应 用 程序 加 壳 ,程序 注册 。 
3.11.4 实验 要 求 

理解 应 用 程序 保护 的 作用 ,能 够 使 用 文件 散 列 值 判断 程序 的 完整 性 ,理解 应 用 程序 加 
过 的 原理 。 

提高 要 求 : 设计 实现 一 种 应 用 程序 加 壳 的 方法 和 程序 注册 的 方法 。 
3.11.5 相关 知识 

WinMD5 是 一 款 对 所 有 文件 MDS 值 检测 的 软件 。MD5 的 实际 应 用 是 对 一 段 
Message( 字 节 串 ) 产 生 fingerprint( 指 纹 ), 可 以 防止 被 * 算 改 ”, 其 广泛 用 于 加 密 和 解密 技 
术 上 。 该 软件 使 用 极其 简单 ,运行 后 ,把 需要 计算 MDS 值 的 文件 用 鼠标 拖 到 正在 处 理 的 
框 里 边 , 下 面 将 直接 显示 其 MD5 值 以 及 所 测试 的 文件 名 称 , 可 以 保留 多 个 文件 测试 的 
MD5 值 , 选 定 所 需要 复制 的 MD5 值 ,用 Ctrl+C 组 合 键 就 可 以 复制 到 其 他 地 方 了 。 
3.11.6 实验 设备 

主流 配置 PC 一 台 ,Windows 操作 系统 。 
3.11.7. 实验 步骤 

实验 内 容 一 : WinMD5 使 用 


CD 打开 文件 WinMD5. exe, 如 图 3-11-1 所 示 。 
(2) 拖 动 需要 验证 的 文件 到 此 工具 界面 里 ,等 待 生 成 MD5 串 ,如 图 3-11-2 所 示 。 


图 3-11-1 WinMD5. exe 3-11-2 ”操作 演示 
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图 3-11-3 比较 


(4) 如 果 正 确 , 说 明 下 载 完 整 ; 如 果 不 正确 ,说 明文 件 已 经 破坏 ,请 重新 下 载 或 不 使 用 
此 文件 。 

实验 内 容 二 : 应 用 程序 的 注册 及 破解 

COD 使 用 MS VB 6. 0 编写 一 个 简单 的 注册 程序 ,输入 正确 的 注册 信息 后 才能 显示 一 
段 信息 。 

COD 使 用 追踪 调试 工具 进行 注册 程序 的 跟踪 ,并 修改 跳 转 条 件 部 分 ,使 得 不 需要 输入 
注册 信息 仍 能 显示 这 段 信息 。 


3.11.8 实验 思考 


(1) 应 用 程序 加 壳 的 原理 是 怎样 的 ? 
(2) 木马 病毒 免 杀 从 哪些 方面 来 考虑 ? 


3.12 网 络 监控 与 协议 分 析 
3.12.1 实验 类 型 

综合 型 ,4 学 时 , 必 选 实验 。 
3.12.2 实验 目的 


能 够 对 当前 的 网 络 流量 协议 分 布 等 状态 做 出 正确 判断 ;能 够 对 网 络 协议 的 工作 过 程 
做 出 正确 的 分 析 。 
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3.12.3 题目 描述 
使 用 数据 嗅 探 软件 Sniffer 进行 协议 分 析 与 密码 捕获 。 
3.12.4 实验 要 求 


理解 交换 环境 与 共享 式 网 络 环境 进行 数据 嗅 探 的 区 别 ,能够 使 用 数据 嗅 探 软 件 进行 
协议 分 析 和 密码 捕获 。 


3.12.5 相关 知识 


嗅 探 器 的 英文 写法 是 Sniff ,可 以 理解 为 一 个 安装 在 计算 机 上 的 窃听 设备 , 它 可 以 用 
来 窃听 计算 机 在 网 络 上 所 产生 的 众多 的 信息 。 简 单一 点 解释 : 一 部 电话 的 窃听 装置 可 以 
用 来 窃听 双方 通话 的 内 容 , 而 计算 机 网 络 嗅 探 器 则 可 以 窃听 计算 机 程序 在 网 络 上 发 送 和 
接收 到 的 数据 。 

可 是 ,计算 机 直接 传送 的 数据 是 大 量 的 二 进 制 数据 ,因此 ,一 个 网 络 窃听 程序 必须 使 
用 特定 的 网 络 协议 来 分 解 嗅 探 到 的 数据 , 嗅 探 器 也 必须 能 够 识别 出 哪个 协议 对 应 于 这 个 
数据 片断 ,只 有 这 样 才能 够 进行 正确 的 解码 。 

计算 机 的 嗅 探 器 比 起 电话 窃听 器 ,有 它 独特 的 优势 : 很 多 的 计算 机 网 络 采用 的 是 “ 共 
享 媒体 ”, 也 就 是 说 ,不 必 中 断 它 的 通信 ,并 且 配 置 特别 的 线路 ,再 安装 嗅 探 器 ,几乎 可 以 在 
任何 连接 着 的 网 络 上 直接 窃听 到 同一 掩 码 范 围 内 的 计算 机 网 络 数 据 , 称 这 种 窃听 方式 为 
“基于 混杂 模式 的 嗅 探 ”(promiscuous mode)。 尽 管 如 此 ,这 种 “共享 ”的 技术 发 展 的 很 快 ， 
慢 慢 转向 “交换 ”技术 ,这 种 技术 会 长 期 地 继续 使 用 下 去 , 它 可 以 实现 有 目的 选择 的 收发 
数据 。 


3.12.6 实验 设备 
主流 配置 PC — 4. Windows 2003 操作 系统 ,共享 式 局 域 网 环境 , Wireshark 
3.12.7 实验 步骤 


(1) 在 Windows 下 安装 Wireshark 工具 ,过 程 如 图 3-12-1、 图 3-12-2 所 示 。 
(2) 测试 一 下 网 络 环境 是 否 能 ping 通 , 如 图 3-12-3 所 示 。 
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Wireshark 1.4.9haochj (32-bit) Uninstall 


Welcome to the Wireshark 
1.4.9haochj (32-bit) Uninstall Wizard 


This wizard will guide you through the uninstallation of 
Wireshark 1.4.9haochj (32-bit), 


Before starting the uninstallation, make sure Wireshark 
1,4, 9haochj (32-bit) is not running. 


Click Next to continue. 


图 3-12-1 Wireshark 安装 一 


Wireshark 1.4.9haochj (32-bit) Uninstall 


Uninstall Wireshark 1.4.9haochi (32-bit) 
Remove Wireshark 1.4.9haochj (32-bit) from your computer. 


The following Wireshark installation wil be uninstalled. Click Next to continue. 


Uninstalling from: [C:\Program Files\Wireshark 


图 3-12-2 Wireshark 安装 二 


本 5.1 
1985-2001 Microsc 
Docunent Settings Administra ping 19 


nging 3 with 32 byte data: 


118: bytes-32 time<ins TIL 
tine<ims TTL 


ply fron 192.168.1 
Reply from 192.168.1.110: byte 
Reply fron 192.168.1.118: bytes-32 tine<in: 


图 3-12-3 ping 网 络 


(3) 启动 监听 ,选择 抓 包 过 滤 ,新 建 一 个 过 滤 类 型 ICMP, 如 图 3-12-4 所 示 。 


T Wireshark:dÁB X fF - 配置 文件 :Default 
编辑 MAME 

Ethernet address 00:08:15:00:08:15 

Ethernet type Ox0808 (ARP) 

No Broadcast and no Multicast 

No ARP 

IP only 

IP address 192.168.0.1 

IPX only 

TCP only 

VDP only 

TCP or UDP port 60 (HTTP) 

HITP TCP port (80) 

No ARP and no DNS 

Non-HITP and non-SMTP to/from www. wireshark. org 

ewe 


属性 
ESF: | ICMP 


过 小 条 件 : | i cmp] 


图 3-12-4 新建 过 滤 文 件 
(4) 执行 ping 扫描 ,如 图 3-12-5 所 示 。 


ping 192.168.1.110 


Microsoft Wind: RAS 5.1.2600] 
TE 版 j 1985-2001 Microsoft Corp 


C:\Documents and Settings\Administrator>ping 192.168.1.110 
Pinging 192.168.1.118 with 32 by 
Reply from 192.168.1.110 2 time<ims TTL 


64 
Reply f 192.168.1.110: 2 time<ims TTL=64 
Reply from 192.168.1.110 2 tine<ims TTL=64 


图 3-12-5 ping 扫描 


(5) 停止 监听 ,查看 监听 结果 ,如 图 3-12-6 所 示 。 
(6) 用 Wireshark 监听 FTP 账户 /密码 ,新 建 一 个 用 户 账号 及 密码 ,过 程 如 图 3-12-7 一 
图 3-12-12 所 示 。 
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P Capturing from Realtek 10/100/1000 Ethernet NIC 
文件 四 KO WO x) HAO MWO KHO SA 
Gaaga nExc2onte5sosTi 


Tine Source Destination Protocol Info 

10.000000 192. 168.1. 163 192. 168. 1.110 Echo (ping) request 
20.000129  192.168.1.110 192.168. 1. 163 (ping) reply 
38.211781  192.168.1.161 192.168. 1.110 (ping) request 
48.211896  192.168.1.110 192. 168. 1.161 (ping) reply 

5 11.124702 192.168.1.155 192.168.1.3. (ping) request 


8 13.160364 192.168.1,155 192.168.1.3. 


@ Frame 13: 70 bytes on wire (560 bits), 70 bytes captured (560 bits) 

® Ethernet II, Src: Vaware 6b:09:94 (00:0c:29:6b:09:94), Dst: 74:27:ea:36:a1:f5 (74:27:ea:36: 
& Internet Protocol, Src: 192. 168.1.110 (192.168.1.110), Dst: 192. 168.1.155 (192. 168, 1.155) 

@ Internet Control Message Protocol 


74 27 ea 36 al £5 00 Oc 29 6b 09 94 08 00 45 00 
00 38 03 bO 00 00 40 01 £2 bb cO a8 01 6e cO a8 
01 9b 05 01 f9 ed cO a8 03 45 00 00 30 6c 63 . bk 
40 00 80 06 0a 76 cO a8 01 9b cO a8 01 03 05 43 E K 
NA Rh Bh 79 ce 1d kv 
Q@ Realtek 10/100/1000 Ethernet NIC … OH 16 STER is 标记 数量 0 WOM Default 


图 3-12-6 监听 结果 


用 户 帐 户 向 导 E 


Account Name 


— ww | 
图 3-12-7 新 建 步骤 一 


用 户 帐 户 向 导 


Account Password 


pre) 在 登录 时 任意 的 密码 都 格 被 接受 . 


z8: [eee 
确认 密码 ; [eene 


«x-se[r-*m»] mm 


图 3-12-8 ”新 建 步骤 二 
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用 户 帐户 向 导 


用 户 帐户 向 导 


用 户 帐户 向 导 


3-12-11 新 建 步骤 五 
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你 已 经 成 功 创建 了 一 个 新 账户 , 单 击 “ 完 成 ”按钮 


图 3-12-12 新建 步骤 六 


(7) 启动 服务 器 ,如 图 3-12-13 所 示 o 


EUM pg Me 
Venen WEE 
Mir: fisc ceo 可 NéHWn: [E — 
— 


é 


s 
[LII 


BEREE 


BARRER Bees 
T selec Beh. nm 
HERR x 
D Biber Bs ATTI Sie See agen = 
厂 BDERMARREZE gareg (Ranz) 
JEn 19.181.110 — [ GRE: co ws SHER: 0.00 x la 二 


图 3-12-13 ”启动 服务 器 


(8) 打开 浏览 器 ,登录 服务 器 ,弹出 如 图 3-12-14 所 示 对 话 框 ,输入 用 户 名 及 密码 登录 
服务 器 。 

(9) 登录 服务 器 成 功 ,如 图 3-12-15 所 示 。 

(10) 停止 抓 包 , 查 看 结果 ,如 图 3-12-16 和 图 3-12-17 所 示 。 


3.12.8 实验 思考 


(1) 在 交换 式 局 域 网 环境 和 共享 式 局 域 网 环境 中 进行 网 络 嗅 探 有 何不 同 ? 
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ge 服务 器 不 允许 匿名 登录 ,或 者 不 接受 该 电子 邮件 地 址 。 


FIP 服务 器 192. 168. 1.110 

RIP&00: sun 

wap: esee] 

ERU TUT IR S SES MBSE » VSS El 


和 加密 或 编码 密码 或 数据 。 
Ag. Rv S a E 


Learn more about using Web Folders. 
DIESSRG Deme 


Gao) 
图 3-12-14 登录 对 话 框 


Co Vine ee 
Ou. O 3 Pm om 2 XODG» Ali 
sien. ae 


图 3-12-15 登录 成 功 


Bek 14087905 19A, 109, 
[cnn 

Gng 14, ore 192.1 
sem 14, Last 192 I 


lea GMDISRIMHO TEP reReteviseck > ep ACK) Saari Model Vines Lem 
io — BE MARL tes Response: 220 Welczae 1a JUV FIP Server 70.0 

155 lense co 

PTT 


689 14, MNT 182 168.1.110 192. 168 L165 PIP Response: 210 Client isun successfully Jagged fn. Client IP 1192 18h 1.165 
90 14 92977 82181110 PIP Reget: opte utta on 
FP Barnesa: A0 Coanana nat Yapleamted ~ fry BLP. 
m 
[5 "m 
ou 14 cage n 
i6 14 co nr 
16 sni "n s| 


[E Prane 68A: 68 brtes on vire (KU bita), PM bytes captured [S btts) 
| eret Ir, Sre: Nile 30:70:4 (HisITuma 30:70:10), Det: Tovare Obi 08:34 (00:0s:20508:09:90] 
Internet Brotocel, See: 132182 1.108 (192 IGEL 168), Det: 192.168 L.IIO [192 16 1.10) 
|* Wraigstan Contest Protocol, Sre Ports raxote-vingsck CTAB), Det Pert: 1o (21), Seat Ih adi: 72 tant 14 
E RIS sranctenvinaock( hes 
imas toc 


Dres mer di 
Sequence mmber: i — (reletive sequence nass 
Lert sequence mater: 25 Galati 


a flass: Onl? Ql, ame) 
incon stre: Gea 
a Choco Diades [validation divi 
3 TEVACT. amatyete] 
le ole Transfer Protocol OTP) 


3-12-16 ”查看 结果 一 
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D awe dem MD TAD | 省 IA | 


SB 14.087925 192. 168.1165 
see 082729_ 192 ise o 


DERE 


xl 
195 14.086570 182.168. 1,110 
894 14 035822 196168.1, 185 
"85 4-090932 192. 198 1110 
695 4 90976 192.185.1165. 


图 3-12-17 查看 结果 二 


(2) 有 哪些 方法 可 以 使 网 络 嗅 探 失败 ? 
3.13 ”风险 分 析 
3.13.1 实验 类 型 
设计 型 ,2 学 时 ,课外 自选 实验 。 
3.13.2 实验 目的 
了 解 风险 评估 、 风 险 减 缓 的 步骤 和 基本 内 容 。 
3.13.3 题目 描述 
使 用 数据 恢复 软件 EasyRecovery 进行 文件 恢复 。 
3.13.4 实验 要 求 
理解 磁盘 数据 恢复 的 原理 ,认识 数据 恢复 技术 对 信息 安全 的 影响 :能够 使 用 数据 恢复 


软件 EasyRecovery 进行 文件 恢复 。 
提高 要 求 : 能 够 对 磁盘 数据 进行 彻底 清除 。 
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3.13.5 相关 知识 


随 着 Internet 的 急剧 扩大 和 上 网 用 户 的 迅速 增加 ,风险 变 得 更 加 严重 和 复杂 。 原 来 
由 单个 计算 机 安全 事故 引起 的 损害 可 能 传播 到 其 他 系统 ,引起 大 范围 的 瘫痪 和 损失 ;加 上 
缺乏 安全 控制 机 制 和 对 Internet 安全 政策 的 认识 不 足 , 这 些 风险 正 日 益 严 重 。 

针对 这 个 企业 局 域 网 中 存在 的 安全 隐患 ,在 进行 安全 方案 设计 时 ,下 述 安全 风险 必须 
认真 考虑 ,并 且 要 针对 面临 的 风险 ,采取 相应 的 安全 措施 。 下 述 风 险 由 多 种 因素 引起 ,与 
这 个 企业 局 域 网 结构 和 系统 的 应 用 、 局 域 网 内 网 络 服务 器 的 可 靠 性 等 因素 密切 相关 。 

网 络 安全 可 以 从 以 下 5 个 方面 来 理解 : 四 网 络 物理 是 否 安全 ; 四 网 络 平台 是 否 安全 ; 
名 系统 是 否 安全 ; 中 应 用 是 否 安全 ; @ 管 理 是 否 安全 。 针 对 每 一 类 安全 风险 ,结合 这 个 
企业 局 域 网 的 实际 情况 ,我 们 将 具体 地 分 析 网 络 的 安全 风险 。 


1. 物理 安全 风险 分 析 


网 络 的 物理 安全 的 风险 是 多 种 多 样 的 。 网 络 的 物理 安全 主要 是 指 地 震 , 水 灾 、 火 灾 等 
环境 事故 ,电源 故障 ,人 为 操作 失误 或 错误 ,设备 被 瓷 、 被 毁 , 电 磁 干 扰 , 线 路 截获 ,以 及 高 
可 用 性 的 硬件 , 双 机 多 元 余 的 设计 ,机 房 环境 及 报警 系统 ,安全 意识 等 。 它 是 整个 网 络 系 
统 安全 的 前 提 , 在 这 个 企业 局 域 网 内 ,由 于 网 络 的 物理 跨度 不 大 ,只 要 制订 健全 的 安全 管 
理 制 度 ,做 好 备份 ,并 且 加 强 网 络 设备 和 机 房 的 管理 ,这 些 风险 是 可 以 避免 的 。 


2. 网 络 平台 的 安全 风险 分 析 


网 络 结构 的 安全 涉及 网 络 拓扑 结构 、 网 络 路 由 状况 及 网 络 的 环境 等 。 

1) 公开 服务 器 面临 的 威胁 

这 个 企业 局 域 网 内 公开 服务 器 区 (WWW , E-mail 等 服务 器 ) 作 为 公司 的 信息 发 布 平 
台 , 一 旦 不 能 运行 或 者 受到 攻击 ,将 对 企业 的 声誉 造成 巨大 影响 。 同 时 ,公开 服务 器 本 身 
要 为 外 界 服务 ,必须 开放 相应 的 服务 ;每 天 ,黑客 都 在 试图 问 入 Internet 节点 ,这 些 节点 如 
果 不 保持 警惕 ,可 能 连 黑客 怎么 问 入 的 都 不 知道 ,甚至 会 成 为 黑客 入 侵 其 他 站 点 的 跳板 。 
因此 ,规模 比较 大 的 网 络 的 管理 人 员 对 Internet 安全 事故 做 出 有 效 反 应 变 得 十 分 重要 。 
我 们 有 必要 将 公开 服务 器 .内 部 网 络 与 外 部 网 络 进行 隔离 ,避免 网 络 结构 信息 外 泄 ; 同 时 
还 要 对 外 网 的 服务 请 求 加 以 过 滤 ,只 允许 正常 通信 的 数据 包 到 达 相 应 主机 ,其 他 的 请 求 服 
务 在 到 达 主 机 之 前 就 应 该 遭 到 拒绝 。 

2) 整个 网 络 结构 和 路 由 状况 

安全 的 应 用 往往 是 建立 在 网 络 系统 之 上 的 。 网 络 系统 的 成 熟 与 否 直接 影响 安全 系统 
的 建设 。 在 这 个 企业 局 域 网 络 系统 中 ,只 使 用 了 一 台 路 由 器 ,用 作 与 Internet 连接 的 边界 
路 由 器 ,网 络 结构 相对 简单 ,具体 配置 时 可 以 考虑 使 用 静态 路 由 ,这 就 大 大 地 减少 了 因 网 
络 结构 和 网 络 路 由 造成 的 安全 风险 。 
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3. 系统 的 安全 风险 分 析 


所 谓 系统 的 安全 ,是 指 整 个 局 域 网 网 络 操作 系统 、 网 络 硬件 平台 是 否 可 靠 且 值得 信 
任 。 对 于 中 国 来 说 , 丽 怕 没有 绝对 安全 的 操作 系统 可 以 选择 ,无 论 是 Microsoft 的 
Windows NT 或 者 其 他 任何 商用 UNIX 操作 系统 ,其 开发 厂商 必然 有 其 Back-Door。 但 
是 ,我 们 可 以 对 现 有 的 操作 平台 进行 安全 配置 ,对 操作 和 访问 权限 进行 严格 控制 ,提高 系 
统 的 安全 性 。 因 此 ,不 但 要 选用 尽 可 能 可 靠 的 操作 系统 和 硬件 平台 ,而且 必须 加 强 登录 过 
程 的 认证 (特别 是 在 到 达 服 务 器 主机 之 前 的 认证 ) ,确保 用 户 的 合法 性 ;其 次 应 该 严格 限制 
登录 者 的 操作 权限 ,将 其 完成 的 操作 限制 在 最 小 的 范围 内 。 


4. 应 用 的 安全 风险 分 析 


应 用 系统 的 安全 跟 具 体 的 应 用 有 关 , 它 涉及 很 多 方面 。 应 用 系统 的 安全 是 动态 的 、 不 
断 变化 的 。 应 用 的 安全 涉及 面 很 广 , 以 目前 Internet 上 应 用 最 为 广泛 的 E-mail 系统 来 
说 ,其 解决 方案 有 几 十 种 ,但 其 系统 内 部 的 编码 甚至 编译 器 导致 的 Bug 是 很 少 有 人 能 够 
发 现 的 ,因此 一 套 详尽 的 测试 软件 是 必需 的 。 但 是 应 用 系统 是 不 断 发 展 且 应 用 类 型 是 不 
断 增加 的 ,其 结果 是 安全 漏洞 也 在 不 断 增 加 且 隐 藏 得 越 来 越 深 。 因 此 ,保证 应 用 系统 的 安 
全 也 是 一 个 随 网 络 发 展 不 断 完善 的 过 程 。 

应 用 的 安全 性 涉及 信息 ,数据 的 安全 性 。 信 息 的 安全 性 涉及 机 密 信息 泄露 ,未 经 授权 
的 访问 .破坏 信息 完整 性 .假冒 和 破坏 系统 的 可 用 性 等 。 由 于 这 个 企业 局 域 网 跨度 不 大 ， 
绝 大 部 分 重要 信息 都 在 内 部 传递 ,因此 信息 的 机 密 性 和 完整 性 是 可 以 保证 的 。 对 于 有 些 
特别 重要 的 信息 需要 对 内 部 进行 保密 的 (例如 领导 子 网 .财务 系统 传递 的 重要 信息 ) ,可 以 
考虑 在 应 用 级 进行 加 密 ;针对 具体 的 应 用 ,直接 在 应 用 系统 开发 时 进行 加 密 。 


5. 管理 的 安全 风险 分 析 


管理 是 网 络 安全 中 最 重要 的 部 分 , 责 权 不 明 、 管 理 混乱 ,安全 管理 制度 不 健全 及 缺乏 
可 操作 性 等 都 可 能 引起 管理 安全 的 风险 。 

当 网 络 出 现 攻击 行为 或 网 络 受 到 其 他 一 些 安 全 威胁 时 (如 内 部 人 员 的 违规 操作 等 )， 
无 法 进行 实时 的 检测 、 监 控 、 报 告 与 预警 。 同 时 , 当 事 故 发 生 后 ,也 无 法 提供 黑客 攻击 行为 
的 追踪 线索 及 破案 依据 , 即 缺乏 对 网 络 的 可 控 性 与 可 审查 性 。 这 就 要 求 我 们 必须 对 站 点 
的 访问 活动 进行 多 层次 的 记录 ,及 时 发 现 非法 入 侵 行为 。 

建立 全 新 网 络 安全 机 制 ,必须 深刻 理解 网 络 并 能 提供 直接 的 解决 方案 ,因此 ,最 可 行 
的 做 法 是 管理 制度 和 解决 方案 的 结合 。 


6. 黑客 攻击 


黑客 的 攻击 行动 是 无 时 无 刻 不 在 进行 的 ,而 且 会 利用 系统 和 管理 上 的 一 切 可 能 利用 
的 漏洞 。 公 开 服 务 器 存在 漏洞 的 一 个 典型 例证 ,是 黑客 可 以 轻易 地 骗 过 公开 服务 器 软件 ， 
得 到 UNIX 的 口令 文件 并 将 之 送 回 。 黑 客 侵入 UNIX 服务 器 后 ,有 可 能 修改 特权 ,从 普 
通用 户 变 为 高 级 用 户 ,一 且 成 功 , 黑 客 可 以 直接 进入 口令 文件 。 黑 客 还 能 开发 欺骗 程序 ， 
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将 其 植 人 UNIX 服务 器 中 ,用 以 监听 登录 会 话 。 当 它 发 现 有 用 户 登 录 时 , 便 开 始 存储 一 
个 文件 ,这 样 黑 客 就 拥有 了 他 人 的 账户 和 口令 。 这 时 为 了 防止 黑客 和 人 侵 ,需要 设置 公开 服 
务 器 ,使 得 它 不 离开 自己 的 空间 而 进入 另外 的 目录 。 另 外 ,还 应 设置 组 特权 ,不 允许 任何 
使 用 公开 服务 器 的 人 访问 WWW 页 面 文件 以 外 的 东西 。 在 这 个 企业 的 局 域 网 内 可 以 综 
合 采用 防火 墙 技 术 、Web 页 面 保护 技术 .入 侵 检测 技术 和 安全 评估 技术 来 保护 网 络 内 的 
信息 资源 ,防止 黑客 攻击 。 


7. 通用 网 关 接 口 (CGDI) 漏 洞 


有 一 类 风险 涉及 通用 网 关 接 口 (CGI) 脚 本 。 许 多 页 面 文件 有 指向 其 他 页 面 或 站 点 的 
超 链 接 , 有 些 站 点 用 这 些 超 链接 所 指 站 点 寻找 特定 信息 。 搜 索引 擎 是 通过 CGI 脚本 执行 
的 方式 实现 的 。 黑 客 可 以 修改 这 些 CGI 脚本 以 执行 他 们 的 非法 任务 。 通 常 ,这些 CGI 脚 
本 只 能 在 这 些 WWW 服务 器 中 寻找 ,但 如 果 进 行 一 些 修改 ,它们 就 可 以 在 WWW 服务 器 之 
外 进行 寻找 。 要 防止 这 类 问题 发 生 ,应 将 这 些 CGI 脚本 设置 为 较 低 级 用 户 特权 ,提高 系统 的 
抗 破坏 能 力 ,提高 服务 器 的 备份 与 恢复 能 力 ,提高 站 点 内 容 的 防臭 改 与 自动 修复 能 力 。 


8. 恶意 代码 


恶意 代码 不 限于 病毒 ,还 包括 蠕虫 、 特 洛 伊 木马 ,人 逻辑 炸弹 和 其 他 未 经 同意 的 软件 。 
应 该 加 强 对 恶意 代码 的 检测 。 


9. 病毒 的 攻击 


计算 机 病毒 一 直 是 计算 机 安全 的 主要 威胁 。 能 在 Internet 上 传播 的 新 型 病毒 ,例如 
通过 E-mail 传播 的 病毒 ,增加 了 这 种 威胁 的 程度 。 病 毒 的 种 类 和 传染 方式 也 在 增加 , 国 
际 空间 的 病毒 总 数 已 达 上 万 甚至 更 多 。 当 然 ,查看 文档 、 浏 览 图 像 或 在 Web 上 填 表 都 不 
用 担心 病毒 感染 ,然而 ,下 载 可 执行 文件 和 接收 来 历 不 明 的 E-mail 文件 需要 特别 警惕 , 否 
则 很 容易 导致 系统 的 严重 破坏 。 典 型 的 CIH 病毒 就 是 一 个 可 怕 的 例子 。 


10. 不 满 的 内 部 员工 


不 满 的 内 部 员工 可 能 在 WWW 站 点 上 开 些 小 玩笑 ,甚至 进行 破坏 。 无论 如 何 , 他 们 
最 熟悉 服务 器 、 小 程序 、 和 脚本 和 系统 的 弱点 。 对 于 已 经 离职 的 不 满员 工 ,可 以 通过 定期 改 
变 口令 和 删除 系统 记录 以 减少 这 类 风险 。 但 还 有 心怀 不 满 的 在 职员 工 , 这 些 员工 比 已 经 
离开 的 员工 能 造成 更 大 的 损失 ,例如 他 们 可 以 传 出 至 关 重要 的 信息 、 汇 圳 重要 的 信息 安 
全 ,错误 地 进入 数据 库 \、 删 除数 据 等 。 


11. 网 络 的 攻击 手段 


一 般 认 为 ,目前 对 网 络 的 攻击 手段 主要 表现 为 非 授权 访问 , 即 没有 经 过 预先 同意 ,就 
使 用 网 络 或 计算 机 资源 ,如 有 意 避 开 系统 访问 控制 机 制 ,对 网 络 设备 及 资源 进行 非 正常 使 
用 ,或 擅自 扩大 权限 ,越权 访问 信息 。 它 主要 有 以 下 几 种 形式 。 

CD 信息 泄露 或 丢失 : 指 敏 感 数据 在 有 意 或 无 意 中 被 泄露 出 去 或 丢失 , 它 通 常 包 括 


133| 


《网 络 安 全 综合 实践 教程 》 


信息 在 传输 中 丢失 或 泄露 (如 黑客 们 利用 电磁 泄露 或 搭 线 窃听 等 方式 可 截获 机 密 信 息 , 引 
通过 对 信息 流向 ,流量 .通信 频 度 和 长 度 等 参数 的 分 析 , 推 出 有 用 信息 ,如 用 户口 令 .账号 
等 重要 信息 ) ,信息 在 存储 介质 中 丢失 或 泄露 ,通过 建立 隐蔽 隧道 等 窃取 敏感 信息 等 。 

(2) 破坏 数据 完整 性 : 以 非法 手段 窃 得 对 数据 的 使 用 权 , 删 除 、 修 改 、 择 入 或 重 发 某 
些 重要 信息 ,以 取得 有 益 于 攻击 者 的 响应 ;恶意 添加 ,修改 数据 ,以 干扰 用 户 的 正常 使 用 。 

(3) 拒绝 服务 攻击 : 它 不 断 对 网 络 服务 系统 进行 干扰 ,改变 其 正常 的 作业 流程 ,执行 
无 关 程 序 , 使 系统 响应 减 慢 甚至 瘫痪 ,影响 正常 用 户 的 使 用 ,其 至 使 合法 用 户 被 排斥 而 不 
能 进入 计算 机 网 络 系 统 或 不 能 得 到 相应 的 服务 。 

利用 网 络 传播 病毒 : 通过 网 络 传 播 计算 机 病毒 ,其 破坏 性 大 大 高 于 单机 系统 ,而 且 用 
户 很 难 防范 。 


3.13.6 实验 设备 
主流 配置 PC 一 台 ,Windows 操作 系统 。 


3.13.7 实验 步骤 


1. 背景 介绍 


这 是 一 家 商业 银行 ,该 银行 需要 建立 门户 Web 网 站 ,其 中 涉及 的 关键 业务 主要 
包括 : 

CD 用 户 在 线 注册 ; 

(2) 用 户 在 线 交 流 ; 

(3) 在 线 反馈 ; 

(4) 文件 管理 。 

该 网 站 的 主要 设备 包括 : 

A) Web 服务 器 ; 

(2) 数据 库 服 务 器 ; 

(3) E-mail 服务 器 。 

由 于 涉及 银行 的 信誉 和 利益 ,该 网 站 要 求 具 有 7X24 小 时 服务 的 能 力 , 并 且 能 抵御 基 
本 的 攻击 ,具有 从 攻击 等 灾难 中 恢复 的 能 力 。 


2. 网 络 结构 设计 


考虑 业务 的 需要 ,设计 并 实现 该 网 站 ,价格 控制 在 100 万 元 人 民 币 以 内 ,要 求 进行 概要 
设计 、 人 逻辑 设计 和 物理 设计 。 软 件 实现 上 ,考虑 使 用 XOOPS 十 Linux 十 MySQL 来 构建 。 


3. 技术 策略 
技术 策略 指 对 安全 防护 采取 的 具体 措施 和 实施 的 时 间 。 常 规 防 护 技术 措施 有 : 
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CD 采用 备份 来 避免 总 体 损失 ; 

(2) 帮助 用 户 自助 ; 

(3) 预防 引导 病毒 ; 

(4) 预防 文件 病毒 ; 

(5) 将 访问 控制 加 到 PC 中 ; 

(6) 防止 无 意 的 信息 披露 ; 

(7) 使 用 服务 器 安全 ; 

(8) 使 用 网 络 操 作 系 统 的 安全 功能 ; 

(9) 阻止 局 外 人 攻击 ; 

(10) 不 要 促成 过 早 的 硬件 故障 ; 

QD 为 灾难 准备 硬件 ; 

(12) 学 习 数据 恢复 的 基本 知识 ,制订 技术 策略 时 ,要 求 考虑 技术 措施 以 及 采取 该 措 
施 的 时 机 。 


4. 应 急 响应 


应 急 响应 指 为 紧急 事件 制订 响应 规划 ,对 不 同 的 网 络 突 发 事件 作出 响应 。 应 急 响应 
的 基本 过 程 为 : 

(1) 事先 准备 记录 重要 文件 的 加 密 校 验 和 ;增加 或 启用 安全 审核 记录 ;建立 主机 的 防 
御 能 力 (补丁 服务、 网 络 配置 ) ;备份 关键 数据 (包括 防火 墙 ` 路 由 器 的 配置 文件 );* 对 用 户 
进行 主机 安全 方面 的 培训 。 

(2) 网 络 的 准备 工作 安装 防火 墙 和 入 侵 检 测 系统 ;在 路 由 器 上 使 用 访问 控制 列表 ; 创 
建 有 助 于 监视 的 网 络 拓 扑 结 构 ; 对 网 络 流量 进行 加 密 ; 要 求 认证 。 

(3) 确定 适当 的 策略 和 程序 : 确定 响应 立场 ;理解 策略 ;帮助 确定 调查 步骤 和 方式 ; 
制订 可 接受 的 使 用 策略 ;制订 应 急 响应 程序 。 

(4) 创建 响应 工具 包 : 响应 硬件 (PC) ;响应 软件 (两 到 三 种 本 地 操作 系统 、 驱 动 程序 、 
浏览 器 和 备份 程序 ) ;网 络 流量 监视 平台 。 

(5) 组 建 应 急 响应 队伍 : 确定 应 急 响应 队伍 的 任务 ;应 急 响 应 队伍 的 组 建 ( 人 数 、 技 
术 构 成 ) ;应 急 响 应 培训 。 


5. 安防 制度 


(1) 介绍 。 
安防 制度 通过 对 操作 者 使 用 网 络 的 行为 进行 规定 从 而 减少 安全 风险 ,通常 包括 资源 
条 例 \ 使 用 条 例 、 账 号 条 例 等 。 

(2) 举例 。 

后 附 文件 经 下 列 人 员 签 署 并 发 布 实施 : 

安防 执行 官 : xx 日期: 1999 年 7 月 8 日 

首席 执行 官 : yy 日期: 1999 年 7 月 8 日 

关于 遵守 信息 安防 制度 的 通知 和 同意 书后 附 文件 是 Anson 公司 的 信息 安防 制度 。 
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我 已 经 认真 阅读 并 理解 Anson 公司 的 信息 安防 制度 ,并 且 同意 遵守 它 的 各 项 规定 。 

Anson 公司 计算 机 资源 使 用 条 例 签名 日 期 

以 下 是 Anson 公司 计算 机 资源 的 使 用 管理 条 例 。 本 条 例 所 指 的 计算 机 资源 包括 放 
置 在 Anson 公司 的 计算 机 系统 与 设备 以 及 Anson 公司 /Anson 公司 员工 /Anson 公司 顾 
客 操作 使 用 的 计算 系统 和 设备 ;其 中 包括 但 不 限于 由 Anson 公司 购置 或 支持 的 计算 机 、 
服务 器 或 者 网 络 。 制 定 本 条 例 的 目的 是 为 了 保证 全 体 员工 和 业务 伙伴 在 使 用 Anson 公 
司 的 计算 设备 进行 工作 时 能 够 有 效果 、 有 效率 、 有 道德 有 纪律 。 

因特网 使 用 声明 

Anson 公司 对 用 户 在 因特网 上 看 到 或 下 载 到 的 内 容 不 承担 法 律 责任 。 因 特 网 是 一 
个 全 球 范围 的 计算 机 网 络 , 它 包含 数 以 百 万 计 的 信息 。 在 此 警告 用 户 : 其 中 的 许多 信息 
可 能 有 挑 鲜 、 色 情 或 不 正当 的 内 容 。 要 想 在 使 用 因特网 的 时 候 完 全 回避 这 些 内 容 是 很 困 
难 的 。 在 因特网 上 查找 资料 时 可 能 会 进入 一 些 有 高 度 侮辱 性 内 容 的 站 点 。 此 外 ,拥有 因 
特 网 电子 邮件 地 址 可 能 会 收 到 包含 挑 鲜 内 容 的 不 正当 的 电子 邮件 。 在 此 声明 : 访问 因 特 
网 的 用 户 必须 自己 承担 随 之 而 来 的 风险 。 

在 下 面 的 文字 里 ,“ 用 户 ” 指 的 是 Anson 公司 员工 和 使 用 Anson 公司 计算 系统 和 设备 
的 合同 商 。 

用 户 不 得 尝试 在 没有 授权 的 情况 下 访问 Anson 公司 网 络 系 统 上 的 数据 和 程序 ,也 不 
得 在 没有 主人 同意 的 情况 下 访问 其 私 用 数据 和 程序 。 

用 户 有 责任 保护 自己 账户 中 使 用 或 存储 的 信息 资料 。 

如 果 用 户 发 现 以 下 情况 ,必须 立刻 向 安防 执行 官 报告 : 计算 机 安防 方面 的 漏洞 ` 因 使 
用 不 当 造 成 的 事故 或 者 其 他 违反 本 条 例 的 行为 。 

用 户 不 得 在 没有 授权 的 情况 下 安装 拨号 调制 解 调 器 或 回 拨 调 制 解 调 器 。 用 户 不 得 与 
他 人 共享 自立 的 计算 机 或 网 络 账户 口令 字 。 用 户 不 得 在 没有 授权 的 情况 下 复制 他 人 的 版 
权 材 料 ,除非 法 律 允 许 或 得 到 版 权 拥有 者 的 许可 。 版 权 材 料 包 括 但 不 限于 软件 .电子 文 
档 、 视 频 文 件 和 音频 文件 。 用 户 不 得 复制 系统 配置 文件 (如 /etc/passwd 2X SAM 文件 ) 供 
个 人 非 授权 使 用 ,也 不 得 提供 给 其 他 人 做 非 授 权 使 用 。 用 户 不 得 故意 从 事 下 列 活动 : 骚 
扰 其 他 用 户 、 降 低 系统 运行 性 能 、 剥 夺 Anson 公司 授权 用 户 对 某 项 资源 的 访问 、 额 外 侵占 
不 属于 自己 的 资源 、 过 止 Anson 公司 的 计算 机 安防 措施 、 在 没有 授权 的 情况 下 获取 
Anson 公司 网 络 中 某 个 系统 的 访问 权 。 

电子 通信 和 存储 设备 包括 但 不 限于 电子 邮件 服务 器 、 文 件 服务 器 等 , 仅 供 公司 工作 使 
用 。 欺 诈 、 骚 扰 、 调 戏 . 色 情 、 鸭 吓 、 诽 谤 或 者 其 他 非法 或 不 正当 消息 和 /或 不 正当 材料 不 得 
在 Anson 公司 的 网 络 上 收 \ 发 .存储 。 

用 户 不 得 在 没有 发 信人 书面 许可 的 情况 下 把 电子 邮件 转发 给 其 他 人 或 其 他 地 方 。 此 
外 ,用 户 不 得 发 起 或 转发 传销 性 质 的 电子 邮件 。 

通信 和 内容 必 须 言 简 意 凡 。 用 户 必须 以 对 待 其 他 书面 材料 同样 的 认真 态度 来 起 草 电 子 
邮件 和 其 他 电子 文档 。 用 计算 机 编写 的 任何 东西 都 可 能 也 确实 会 被 其 他 人 看 到 。 

用 户 不 得 下 载 .安装 或 运行 暴露 系统 安防 弱点 的 安防 检查 程序 。 例 如 , Anson 公司 
用 户 不 得 在 Anson 公司 的 计算 机 系统 上 运行 口令 字 破 解 程序 。 


136 


用 户 不 得 过 度 消 耗 网 络 带宽 ,例如 下 载 MP3, Real Audio 音频 文件 或 收听 、 收 看 网 络 
电台 电视台 ,除非 这 是 他 们 工作 责任 的 一 部 分 。 

违反 本 条 例 的 行为 由 经 理会 检查 核实 。 纪 律 处 罚 以 及 纪律 处 罚 的 终止 由 经 理会 根据 
其 情节 的 轻重 决定 。 

计算 机 资源 使 用 条 例 的 补充 规定 

Anson 公司 的 某 些 岗位 需要 运行 针对 网 络 或 系统 的 安防 分 析 程序 。 为 了 能 够 在 
Anson 公司 完成 这 类 工作 ,Anson 公司 中 的 下 列 人 员 有 权 下 载 和 运行 任何 必要 的 程序 。 

安防 执行 官 : xx 

系统 管理 员 : yy 

网 络 分 析 员 : zz 

信息 保护 条 例 

以 下 是 Anson 公司 员工 在 处 理 、 保 护 、 传 输 信 息 资料 时 必须 遵守 的 规章 制度 。 制 定 本 
条 例 的 目的 是 为 了 保证 敏感 信息 和 无 形 资产 都 能 得 到 适当 的 保护 ,不 会 被 恶意 修改 或 公开 。 

美国 商业 保密 法 (UTSA) 对 公司 商业 秘密 作出 了 如 下 的 定义 :“ 配 方 、 图 案 、 资 料 汇 
编 程序、 设备、 方法 、 技 术 或 工艺 等 符合 保密 要 求 的 信息 ,具备 独特 的 商业 利益 一 一 真实 
的 或 潜在 的 \` 不 广为人知 .其 他 人 尚未 有 适当 手段 获取 其 诀窍 ,但 公开 后 这 些 人 将 获取 经 
济 利益 ,并 且 为 保守 这 个 秘密 所 做 的 努力 合理 合法 。 "我们 把 无 形 资产 定义 为 不 属于 公共 
范畴 的 一 切 信息 。 

在 下 面 的 文字 里 ,“ 用 户 ” 指 的 是 Anson 公司 员工 和 使 用 Anson 公司 计算 系统 与 设备 
的 合同 商 。“ 第 三 方 ” 指 的 是 其 他 公司 或 不 是 Anson 公司 员工 的 自然 人 。 

在 接受 或 讨论 商业 秘密 或 无 形 资产 之 前 ,第 三 方 必须 签署 保密 协议 。 公 司 的 无 形 资 
产 、 商 业 秘密 或 保密 资料 严格 禁止 向 外 界 发 送 、 传 输 或 者 以 其 他 方式 被 传播 。 根 据 1996 
年 颁布 的 (经 济 间谍 法 》(Economic Espionage Act) ,未 经 授权 而 传播 这 类 信息 会 导致 民 
事 诉 讼 ,甚至 严重 的 刑事 惩罚 。 商 业 秘密 和 无 形 资产 必须 保存 在 专用 的 文件 服务 器 上 。 
保存 在 个 人 机 器 (笔记 本 电脑 .桌面 电脑 等 ) 里 的 商业 秘密 和 无 形 资产 必须 加 密 。 经 由 公 
共 网 络 ( 如 因特网 ) 传 输 的 商业 秘密 和 无 形 资产 必须 加 密 并 加 上 数字 签名 。 有 公司 外 部 来 
源 的 文件 可 能 带 有 修改 或 破坏 Anson 公司 计算 机 中 文件 的 病毒 ,因此 ,从 外 界 接收 到 的 
一 切 文件 必须 用 公司 认可 的 杀毒 软件 进行 处 理 。 

用 户 账户 管理 条 例 

以 下 是 在 Anson 公司 的 计算 资源 ,包括 放置 在 Anson 公司 的 计算 系统 和 Anson 公 
司 使 用 的 计算 系统 上 申请 用 户 和 保有 用 户 账号 所 必须 遵守 的 规章 制度 。 

下 面 的 文字 里 , “用户” 指 的 是 Anson 公司 员工 和 使 用 Anson 公司 计算 机 系统 与 设备 
的 合同 商 。 

开设 新 账户 的 申请 必须 由 CEO 批准 。 

开设 在 公司 计算 系统 上 的 账户 只 能 由 Anson 公司 员工 本 人 使 用 ,特殊 权限 需要 提请 
CEO 批准 。 

每 个 用 户 都 有 他 /她 自己 的 账户 ;在 未 经 CEO 批准 的 情况 下 ,用 户 之 间 不 得 共享 账户 。 

如 果 账 户 超过 30 天 没有 被 使 用 过 ,将 由 系统 管理 员 禁 用 。 如 果 用 户 离职 或 退休 ,其 
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账户 将 在 他 离开 公司 的 那 一 天 起 被 禁用 。 用 户 账户 的 口令 字 必 须 遵守 以 下 规则 : 

t 口令 字 至 少 要 有 7 个 字符 长 ,必须 由 字母 和 数字 字符 组 合 而 成 ; 

* 口令 字 每 隔 60 天 必须 更 换 ; 

。 新 口令 不 得 与 前 6 次 使 用 的 口令 字 相 同 。 

远程 访问 管理 条 例 

以 下 是 远程 访问 Anson 公司 的 技术 资源 时 必须 遵守 的 规章 制度 ,这 里 所 说 的 技术 资 
源 指 的 是 放置 在 Anson 公司 的 计算 系统 和 Anson 公司 使 用 的 计算 系统 ;其 中 包括 但 不 限 
于 由 Anson 公司 购置 或 支持 的 计算 机 、 服 务 器 或 者 网 络 。 制 订 本 条 例 的 目的 是 为 了 保证 全 
体 员工 和 业务 伙伴 在 使 用 Anson 公司 的 计算 设备 进行 工作 时 能 够 有 效果 、 有 安全 保障 。 

下 面 的 文字 里 ,“ 用 户 ” 指 的 是 Anson 公司 员工 和 使 用 Anson 公司 计算 机 系统 与 设备 
的 合同 商 。 

全 体 用 户 都 有 Anson 公司 计算 系统 的 远程 访问 权 。 

用 户 可 以 通过 Anson 公司 远程 访问 解决 方案 所 支持 的 各 种 手段 (例如 拨号 ISP 账户 、 
ISDN、 有 线 电 视 调制 解 调 器 或 xDSL 等 ) 来 连接 上 Anson 公司 的 网 络 系统 。 如 果 用 户 在 连 
TE Anson 公司 计算 资源 时 使 用 的 是 某 种 * 常 开 ? 形 式 的 因特网 连接 手段 (例如 宽带 调制 解 调 
器 .xDSL 等 ) ,就 必须 在 他 们 家 里 的 PC 上 安装 病毒 扫描 软件 并 实现 安防 方面 的 解决 方案 。 


6. 风险 评估 


(1) 介绍 。 

风险 评估 指 对 各 种 可 能 的 安全 问题 进行 的 估计 ,以 掌握 分 析 电 子 商 务 活 动 面临 的 安 
全 程度 。 风 险 评估 主要 回答 7 个 问题 

DO 什么 事件 会 发 生 ? (威胁 代理 ) 

@ 如 果 它 发 生 , 最 坏 的 影响 是 什么 ?( 单 次 损失 值 ) 

© 它 发 生 的 频率 是 什么 ? 

@ 前 3 个 问题 的 答案 有 多 确定 ? (不 确定 性 ) 

© 我 们 可 以 采取 哪些 措施 消除 ` 减 轻 或 转移 风险 ? 〈 安 防 控制 措施 ) 

© 它 需 要 花费 多 少 资金 ? (安防 控制 措施 成 本 ) 

D 有 效 性 有 多 大 ? (成 本 /收益 分 析 或 投资 回报 分 析 ) 

(2) 步骤 举例 。 

第 一 步 : 资产 清单 .定义 和 要 求 。 

D 确定 企业 关键 性 的 商务 活动 ; 

© 编制 关键 性 商务 活动 使 用 的 资产 清单 ; 

© 对 这 些 资产 进行 估价 ,也 可 以 使 用 能 区 分 它们 重要 性 的 其 他 方法 。 

第 二 步 : 脆弱 性 和 威胁 评估 。 

O 运行 自动 化 安防 工具 软件 开始 分 析 工 作 ; 

OQ 人 工 复查 。 

第 三 步 : 安防 控制 措施 评估 。 

认真 考虑 各 种 安防 措施 以 及 它们 的 实施 成 本 。 
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第 四 步 : 分 析 决策 和 文档 。 

CD. 各 种 威胁 的 安防 控制 措施 及 实施 成 本 分 析 表 ; 

© 针对 威胁 选 定 将 要 实施 的 安防 控制 措施 ,或 者 不 采取 任何 措施 ; 

© 编写 评估 工作 报告 ,得 出 结论 。 

第 五 步 : 沟通 和 交流 。 

与 有 关 方 面 沟通 评估 结论 。 

第 六 步 : 监督 实施 。 

密切 注意 和 分 析 新 的 威胁 并 对 安防 控制 措施 做 必要 的 修改 。 企 业 的 重大 变革 将 导致 
一 次 新 的 风险 评估 过 程 。 

G) 案例 参考 。 

背景 介绍 : B2B 公司 Anson 是 一 家 矿山 设备 出 租 代理 的 电子 商务 公司 ,所 有 的 商务 
活动 在 网 络 上 完成 : 打算 出 租 设备 的 公司 在 Anson 的 主页 上 登记 相关 事项 (包括 设备 型 
号 .目前 处 于 何 处 、 联 系 方法 和 可 出 租 时 间 等 ) ,并 向 Anson 公司 交纳 设备 价值 5% 的 登记 
费 ; 需 要 租用 的 公司 在 Anson 的 主页 上 查找 相应 的 资料 ,完成 租借 。Anson 公司 可 以 作 
为 租金 支付 的 第 三 方 ,也 可 由 租借 双方 通过 各 自 的 银行 进行 租金 支付 。 

评估 过 程 : 

第 一 步 : 资产 清单 .定义 和 要 求 。 

CD 确定 企业 关键 性 的 商务 活动 。 问 题 : 利润 从 哪里 来 ? 公司 内 部 沟通 的 手段 如 何 ? 
关键 数据 保存 在 哪里 ? 如 何 修改 这 些 数 据 ? 源 代 码 保存 在 哪里 ? 如 何 修改 ? 登记 费 收 入 
使 用 电信 线路 或 银行 收取 。 关 键 数据 是 关于 设备 登记 方 的 登记 信息 ,保存 在 Oracle 数据 
库 中 ,登记 方 或 公司 数据 库 管理 员 有 权 修 改 。 源 代码 放 在 公司 子 网 上 ,由 程序 员 通 过 “ 质 
量 保证 体系 ”修改 。 

关键 的 业务 流程 : 付款 、 收 款 安排 ;更 新 Web 站 点 ;浏览 Web 站 点 ;公司 及 公司 与 客 
户 的 沟通 。 

© 编制 关键 性 商务 活动 使 用 的 资产 清单 。 

问题 : 应 保证 上 述 关 键 活动 的 设备 。 

硬件 : 服务 器 、 路 由 器 等 。 

软件 : 网 络 服 务 和 协议 (HTTP、SMTP 等 ) ;远程 访问 地 点 ;网 络 上 传递 的 信息 ;什么 
时 间 ,哪些 人 可 以 访问 哪些 东西 。 

© 对 这 些 资产 进行 估价 ,也 可 以 使 用 能 区 分 它们 重要 性 的 其 他 方法 。 

问题 : 评估 的 价格 大 多 以 该 设备 失效 造成 的 损失 为 准 , 如 表 3-13-1 所 示 。 


表 3-13-1 资产 估价 


设备 名 称 估 ft 
Web 服务 器 $10 000 
数据 库 $ 100 000 
邮件 服务 器 $10 000 
邮件 客户 端 软 件 $ 5000 
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第 二 步 : 脆弱 性 和 威胁 评估 ,如 表 3-13-2 和 表 3-13-3 所 示 。 
表 3-13-2 脆弱 性 评估 


软件 名 称 出 4b 能 扫描 的 脆弱 点 数量 * È 
; 由 Internet Scanner 和 
v 
SAFESuite ISS 公司 236 fh System er 组 成 
从 6 个 关键 安防 领域 
公司 

Kane Security Analyst Instrusiton. com 公司 不 针对 特定 脆弱 点 对 系统 进行 检查 
WebTrends bicad Linux 和 Windows | 生成 HTML 格式 的 
Security Analyzer ME NNUS EER 脆弱 点 报告 
Cerberus Internet Scanner | www. cerberus-infosec. com | 126 种 自由 软件 


表 3-13-3 ”攻击 频率 清单 


A W 概率 
非 授权 用 户 修改 了 数据 库 30% 
非 授权 用 户 看 到 了 数据 库 内 容 , 特 别 是 银行 账户 30% 
攻击 者 或 恶意 用 户 获得 了 Web 服务 器 的 控制 权 50% 
Web 服务 器 或 电子 邮件 服务 器 遭受 拒绝 服务 攻击 80% 
电子 邮件 病毒 90% 
攻击 者 或 恶意 用 户 修改 了 Anson 公司 邮件 服务 器 的 电子 邮件 地 址 25% 
普通 攻击 90% 


第 三 步 : 安防 控制 措施 评估 ,如 表 3-13-4 所 示 。 
R 3-13-4 安防 控制 措施 评估 


R M 可 用 的 控制 措施 成 本 
非 授权 用 户 修改 了 数据 库 加 强 访问 权限 控制 $ 25 000 
非 授权 用 户 看 到 了 数据 库 内 容 , 特 别 是 银行 账户 数据 加 密 $ 5000 
防火 墙 $ 10 000 
人 入侵 检测 $10 000 
人 入侵 抵抗 $ 10 000 

攻击 者 或 恶意 用 户 获得 了 Web 服务 器 的 控制 权 
文件 完整 性 $ 8000 
安装 操作 系统 升级 或 补丁 $10 000 
选用 加 强 型 操作 系统 和 服务 器 $ 20 000 
Web 服务 器 或 电子 邮件 服务 器 遭受 拒绝 服务 攻击 | 边境 保护 (防火 墙 或 路 由 器 ) $ 10 000 
电子 邮件 杀毒 软件 $ 5000 
电子 邮件 病毒 客户 程序 杀毒 软件 $ 10 000 


控制 使 用 电子 邮件 的 附件 $100 
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可 用 的 控制 措施 


续 表 
成 本 


攻击 者 或 恶意 用 户 修 改 了 Anson 公司 邮件 服务 器 
的 电子 邮件 地 址 


正确 配置 邮件 服务 器 


$10 000 


监控 外 围 的 SMTP 连接 


$ 50 000 


普通 攻击 


第 四 步 : 分 析 、 决 策 和 文档 。 


防火 墙 


$ 10 000 


入 侵 检测 


$10 000 


和 人 侵 抵 抗 


$ 10 000 


把 实施 成 本 和 资产 价值 进行 比较 ,包括 运营 、 维 护 、 学 习 使 用 、 升 级 扩展 、 运 行 等 方面 


的 内 容 , 让 更 多 的 人 参与 进来 ,最 后 形成 文档 。 


Anson 公司 安防 控制 措施 及 实施 成 本 决策 表 如 表 3-13-5 所 示 o 
R 3-13-5 Anson 公司 安防 控制 措施 及 实施 成 本 决策 表 


威 W 可 用 的 控制 措施 成 本 
非 授 权 用 户 修改 了 数据 库 加 强 访问 权限 控制 $ 25 000 
非 授权 用 户 看 到 了 数据 库 内 容 , 特 别 是 银行 账户 数据 加 密 $ 5000 
文件 完整 性 $ 8000 
攻击 者 或 恶意 用 户 获得 了 Web 服务 器 的 控制 权 安装 操作 系统 升级 或 补丁 $ 10 000 
选用 加 强 型 操作 系统 和 服务 器 $ 20 000 
Web 服务 器 或 电子 邮件 服务 器 遭受 拒绝 服务 攻击 | 边境 保护 (防火 墙 或 路 由 器 ) $10 000 
电子 邮件 杀毒 软件 $ 5000 
电子 邮件 病毒 客户 程序 杀毒 软件 $ 10 000 
控制 使 用 电子 邮件 的 附件 $ 100 
lobe oie Anson 公司 邮件 服务 器 正确 配置 邮件 服务 器 Savai 
防火 墙 $10 000 
普通 攻击 ABUS RU $10 000 
入 侵 抵抗 $ 5000 


第 五 步 : 沟通 和 交流 。 
与 有 关 方 面 沟通 评估 结论 。 


第 六 步 : 监督 实施 。 密 切 注意 和 分 析 新 的 威胁 并 对 安防 控制 措施 做 必要 的 修改 。 企 


业 的 重大 变革 将 导致 一 次 新 的 风险 评估 过 程 。 
3.13.8 实验 思考 


企业 风险 评估 一 般 从 哪些 方面 进行 ? 
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3.14 安全 审计 与 追踪 
3.14.1 实验 类 型 
综合 型 ,4 学 时 ,课外 自选 实验 。 
3.14.2 实验 目的 
审计 是 记录 使 用 计算 机 网 络 系统 进行 所 有 活动 的 过 程 , 它 是 提高 安全 性 的 重要 手段 。 
它 不 仅 能 够 识别 谁 访问 了 系统 ,还 能 指出 系统 正 被 怎样 使 用 ,对 于 确定 有 无 攻击 情况 和 确 


定 攻 击 源 很 重要 。 通 过 实验 ,使 学 生 了 解 安全 审计 的 基本 内 容 , 掌 握 安全 审计 与 追踪 的 分 
析 方 法 。 


3.14.3 题目 描述 
使 用 TopSec TA-W 安全 审计 系统 进行 网 络 安全 审计 。 
3.14.4 实验 要 求 


理解 安全 审计 的 任务 ,能够 根据 实际 需求 部 署 审计 系统 ,能 够 配置 并 使 用 TopSec 
TA-W 安全 审计 系统 。 


3.14.5 相关 知识 


网 络 系统 的 安全 与 否 是 一 个 相对 的 概念 ,没有 绝对 的 安全 。 在 网 络 安全 整体 解决 方 
案 日 益 流行 的 今天 ,安全 审计 系统 是 网 络 安全 体系 中 的 一 个 重要 环节 。 

企业 客户 对 网 络 系统 中 的 安全 设备 和 网 络 设备 .应 用 系统 和 运行 状况 进行 全 面 的 监 
测 、 分 析 、 评 估 是 保障 网 络 安全 的 重要 手段 。 网 络 安全 是 动态 的 ,对 已 经 建立 的 系统 ,如 果 
没有 实时 的 、 集 中 的 、 可 视 化 审计 ,就 不 能 有 效 、 及 时 地 评估 系统 究竟 是 不 是 安全 的 ,并 及 
时 发 现 安全 隐患 。 所 以 安全 系统 需要 集中 的 审计 系统 。 在 安全 解决 方案 中 , 跨 厂商 产品 
的 简单 集合 往往 会 存在 漏洞 ,从 而 使 威胁 乘虚 而 入 ,危及 安全 。 当 某 种 安全 漏洞 出 现时 ， 
如 果 必 须 针 对 不 同 厂 商 的 技术 和 产品 先进 行人 工分 析 , 然 后 综合 分 析 , 提 出 解决 方案 ,将 
降低 对 攻击 的 反应 速度 ,并 潜在 地 增加 成 本 。 如 果 不 能 将 在 同一 网 络 中 多 个 不 同 或 者 相 
同 厂商 的 产品 实现 技术 上 的 互 操作 ,实现 集中 的 审计 ,就 无 法 发 挥 有 效 的 安全 性 ,无 法 有 
效 管理 。 安 全 审计 系统 可 以 满足 这 些 要 求 , 对 网 络 中 的 各 种 设备 和 系统 进行 集中 的 、 可 视 
的 综合 审计 ,及 时 发 现 安全 隐患 ,提高 安全 系统 成 效 。 
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1. 网 络 安全 审计 系统 需要 考虑 的 问题 


CD 日 志 格 式 兼 容 问 题 。 一 般 情 况 下 ,不 同 厂商 的 设备 或 系统 所 产生 的 日 志 格式 互 
不 兼容 ,这 为 网 络 安全 事件 的 集中 分 析 带 来 了 巨大 难度 。 

(2) 日 志 数据 的 管理 问题 。 日 志 数 据 量 非常 大 ,不 断 地 增长 , 当 超 出 限制 后 ,不 能 简 
单 地 丢弃 ,需要 一 套 完整 的 备份 .恢复 和 处 理 机 制 。 

(3) 日 志 数据 的 集中 分 析 问题 。 一 个 攻击 者 可 能 同时 对 多 个 网 络 中 的 服务 器 发 起 攻 
击 , 如 果 单 个 地 分 析 每 个 服务 器 上 的 日 志 信息 ,不 但 工作 量 大 ,而 且 很 难 发 现 攻击 ;如 何 将 
多 个 服务 器 上 的 日 志 关 联 起 来 ,从 而 发 现 攻击 的 行为 ,是 安全 审计 系统 面临 的 重要 问题 。 

(4) 分 析 报 告 及 统计 报表 的 自动 生成 机 制 。 网 络 中 每 天 会 产生 大 量 的 日 志 信 息 , 巨 
大 的 工作 量 使 得 管理 员 手 工 查 看 并 分 析 各 种 日 志 内 容 是 不 现实 的 ,必须 提供 一 种 直观 的 
分 析 报 告 及 统计 报表 的 自动 生成 机 制 来 保证 管理 员 能 够 及 时 、 有 效 地 发 现 网 络 中 各 种 异 
常 状 况 及 安全 事件 。 


2. 网 络 安全 审计 系统 的 主要 功能 


COD 采集 多 种 类 型 的 日 志 数 据 。 能 采集 各 种 操作 系统 的 日 志 、 防 火 墙 系 统 日 志 、 入 侵 
检测 系统 日 志 、 网 络 交换 及 路 由 设备 的 日 志和 各 种 服务 及 应 用 系统 日 志 。 

(2) 日 志 管理 。 多 种 日 志 格式 的 统一 管理 。 自 动 将 其 收集 到 的 各 种 日 志 格式 转换 为 
统一 的 日 志 格式 ,便于 对 各 种 复杂 日 志 信 息 的 统一 管理 与 处 理 。 

(3) 日 志 查询 。 支 持 以 多 种 方式 查询 网 络 中 的 日 志 记 录 信 息 ,以 报表 的 形式 显示 。 

(4) 人 侵 检测 。 使 用 多 种 内 置 的 相关 性 规则 ,对 分 布 在 网 络 中 的 设备 产生 的 日 志 及 
报警 信息 进行 相关 性 分 析 , 从 而 检测 出 单个 系统 难以 发 现 的 安全 事件 。 

(5) 自动 生成 安全 分 析 报 告 。 根 据 日 志 数 据 库 记 录 的 日 志 数据 ,分 析 网 络 或 系统 的 
安全 性 ,并 输出 安全 性 分 析 报告 。 报 告 的 输出 可 以 根据 预先 定义 的 条 件 自动 地 产生 、 提 交 
给 管理 员 。 

(60 网 络 状 态 实时 监视 。 可 以 监视 运行 有 代理 的 特定 设备 的 状态 、 网 络 设备 .日 志 内 
容 、 网 络 行为 等 情况 。 

(7) 事件 响应 机 制 。 当 审计 系统 检测 到 安全 事件 的 时 候 ,可 以 采用 相关 的 响应 方式 报警 。 

(8) 集中 管理 。 审 计 系统 通过 提供 一 个 统一 的 集中 管理 平台 ,实现 对 日 志 代 理 、 安 全 
审计 中 心 . 日 志 数据 库 的 集中 管理 。 

网 络 安全 审计 系统 作为 一 个 独立 的 软件 ,和 其 他 的 安全 产品 (如 防火 墙 , 人 侵 检测 系 
统 ` 漏 洞 扫描 系统 等 ) 在 功能 上 互相 独立 ,但 是 同时 又 能 互相 协调 、 补 充 , 保 护 网 络 的 整体 
安全 。 本 实验 使 用 的 设备 和 配套 软件 系统 为 TopSec TA-W ,详细 内 容 可 参考 (网 络 卫士 
安全 审计 系统 TA-W 安装 手册 》《 网 络 卫士 安全 审计 系统 TA-W 用 户 手册 ;等 。 


3.14.6 实验 设备 


主流 配置 PC 一 台 ,Windows 操作 系统 ,TopSec TA-W 安全 审计 引擎 与 配套 软件 ,网 
络 环境 。 
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3.14.7 实验 步骤 


1. TopSec TA-W 安全 审计 系统 的 部 署 
TopSec TA-W 安全 审计 系统 的 部 署 如 图 3-14-1 所 示 。 


192.168.0.222 
内 网 2 
数据 中 心 +SQL Server LÁ ——. 
数据 库 服务 器 一 一 管理 中 心 


vos e iB g Qr 
交换 机 QU Hub, À " qr uy J 


192.168.0.0/24 


口 1 管理 口 
审计 引擎 


x eani 


E3141 审计 系统 的 部 署 


2. 初步 配置 


将 一 台 本 地 管理 主机 通过 CONSOLE 线 缆 与 审计 引擎 的 CONSOLE 口 连 接 , 初 步 配 


置 审计 引擎 (一 般 情 况 下 可 以 ) 。 
3. 配置 审计 引擎 


将 管理 口 的 TP 地 址 设置 为 内 网 2 的 IP 地 址 ,为 192. 168. 0. 254/255. 255. 255. 0. R 


关 地 址 为 192. 168. 0. 1/255. 255. 255. 0。 步 又 如 下 : 


(1) TopsecTA- Winetwork reset // 说 明 : 管理 口 只 允许 有 一 个 下 地 址 ,因此 首先 必须 将 接口 配置 初 


始 化 

(2) TopsecTA- Winetwork interface eth ip add 192.168.0.254 mask 255.255.255.0 

// 说 明 : 设置 etho 口 的 Ish ht AF EE RR 

(3) TopsecTAWHnetwork route add dst 0.0.0.0 src 0.0.0.0 gw 192.168.0.1 

// 说 明 : 保证 当 审 计 引擎 和 数据 中 心 不 在 同 一 个 网 段 时 ,它们 之 间 能 够 正常 通信 
(4) TopsecTA- Wita cam modify dc ip 192.168.0.222 key TOPSEC 2005 encrypt high 


// 说 明 :设置 数据 中 心地 址 ,数据 中 心 和 审计 引擎 之 间 进 行 通信 的 共享 密 钥 、 数 据 传 输 的 加 密 方 


法 。"dc_ip=19.168.0.222 key TOPSEC 2005 encrypt high" 为 高 加 密 传输 
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(5) TopsecTA- Wisave // 保 存 所 作 的 修改 
(6) TopsecTA- Wita restart // 重 新 启动 审计 引擎 ,才能 使 修改 生效 。 不 是 重启 整个 系统 


4. 配置 采集 口 


TA-W-S 支持 一 个 采集 口 , 即 同时 只 能 有 一 个 接口 可 以 采集 数据 。 系 统 默认 的 管理 
OH eth0 ,采集 口 为 eth1。 如 果 想 将 采集 口 更 改 为 eth3 ,必须 将 ethl 和 eth2 接口 关闭 
掉 , 同 时 开启 eth3 口 ,系统 才 会 将 eth3 口 作为 采集 口 。 步 又 如 下 


(1) TopsecTA- Wnetwork interface ethl shutdown // 关 闭 网 口 ethl 

(2) TopsecTA- Winetwork interface eth? shutdown // 关 闭 网 口 eth2 

(3) ‘TopsecTA- Winetwork interface eth3 no shutdown // 开 启 网 口 eth3 

(4) TapsecTA- Wé save // 保 存 所 作 的 修改 

(5) TopsecTA- Wéta restart // 重 新 启动 审计 引擎 进程 


5. 在 服务 器 上 安装 数据 中 心 (服务 器 的 IP 地 址 为 192. 168. 0. 222) 


数据 中 心 负责 存储 来 自 审计 引擎 的 各 种 信息 ,将 数据 存储 在 磁盘 上 ,记录 存储 在 
SQL Server 数据 库 中 。 一 个 数据 中 心 可 以 存储 管理 多 个 审计 引擎 的 数据 。 同 时 数据 中 
心 响应 来 自 管理 中 心 的 查询 请 求 ,对 原始 数据 报 文 进行 还 原 和 分 析 、 统 计 分 析 ,并 将 结果 
反馈 给 管理 中 心 。 另 外 ,数据 中 心 还 负责 转发 来 自 管理 中 心 的 数据 采集 策略 .报警 响应 策 
略 以 及 流量 监控 策略 到 审计 引擎 。 

数据 中 心 的 安装 包括 软件 安装 .配置 SQL Server 数据 库 .配置 数据 本 地 存储 属性 和 
配置 连接 密 钥 等 ,如 图 3-14-2 所 示 。 


SQL Server z] 
SBS QD... 


DY reg 
a| sso 
=| mio 


Tv 当 启 动 05 时 自动 启动 服务 A) 
=N 19VZNZ2NB - NSSQLServer 


ases] ES || gosse esee | BEB uw 
图 3-14-2 SQL Server 服务 器 运行 状态 
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COD 首先 安装 SQL Server 2000。 注 意 将 “身份 验证 模式 ”设置 为 混合 模式 ,用 户 名 为 
sa, 密 码 为 xkd。 

(2) 安装 数据 中 心 。 在 配置 数据 库 的 位 置 时 选择 “使 用 本 地 SQL Server”, 本 地 SQL 
Server 服务 器 的 名 称 为 (local) ,SQL Server 的 用 户 名 为 sa, 密 码 为 xkd。 

配置 数据 中 心 其 他 属性 设置 : 采集 数据 存放 分 区 为 D:\( 当 然 也 可 以 放 在 其 他 分 区 ,但 
不 能 是 系统 分 区 或 者 数据 库 系 统 分 区 ,并 且 必 须 是 ntfs 格式 ) ,中 心 与 管理 中 心 预 共享 密 钥 
为 TOPSEC 2005, 引 擎 IP 为 192. 168. 0. 254 ,共享 密 钥 为 TOPSEC _2005 ,如 图 3-14-3 所 示 。 


E] 
SPSS PPAR o 
采集 数据 存放 分 区 BR) PA 
: fo — — ib 

ABUSER SLES : 山 除 最 早 数据 了 | 

三 邮件 报警 设置 

日 志 服务 器 地 址 MT x0 1 

日 志 服务 器 端口 pr 

邮件 服务 器 地 址 : 

RPS: 

密码 


AECA IE] sesent: 


数据 中 心 与 管理 中 心 预 共享 [remen 07 
数据 传输 加 密 方式 : 


[esum z] 


添加 /编辑 审计 引擎 共享 密 钥 : 
Sip: 192 .168 . 0 
E 一 一 一 确定 | 


Lx» | ww | 


图 3-14-3 数据 中 心 属性 设置 


6. 在 服务 器 上 安装 管理 中 心 ( 服 务 器 的 IP 地 址 为 192. 168. 0. 222) 


管理 中 心 可 以 和 一 个 或 多 个 数据 中 心 进行 通信 。 用 户 可 以 通过 WEBUI 界面 对 管理 
中 心 ,数据 中 心 和 审计 引擎 进行 管理 

HTTP 和 HT TPS 协议 的 默认 端口 号 为 80 和 443 ,如果 这 两 个 端口 被 其 他 服务 占 
用 , 则 必须 在 安装 时 修改 默认 端口 号 ,否则 安装 包 将 提示 用 户 重 新 输入 端口 号 。 

完成 管理 中 心安 装 后 ,会 自动 启动 Apache 服务 。Apache 服务 启动 成 功 后 可 以 在 
“开始 "菜单 中 选择 “设置 ”一 控制 面板 一 “管理 工具 ”>“ 服 务 ”, 查 看 到 已 经 启动 了 Apache 
服务 ,如 图 3-14-4 所 示 。 


7. 配置 数据 中 心 


CD 登录 管理 中 心 。 管 理 员 可 以 通过 管理 中 心 以 Web 访问 的 方式 对 管理 中 心 进行 
远程 管理 。 在 访问 时 ,管理 员 需 要 在 管理 主机 的 浏览 器 上 输入 管理 中 心 的 管理 URL, 如 
图 3-14-5 所 示 。 如 果 修 改 了 默认 端口 , 须 在 URL 后 加 上 端口 号 。 
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[EEECUCEJ 


eto) fÆ) hetp://192, 168.0.222/ 


3-14-5 通过 URL 登录 管理 中 心 


输入 用 户 名 、 密 码 后 (管理 中 心 的 默认 出 厂 用 户 名 为 superman, 密 码 为 talent) ,按照 
提示 输入 验证 码 , 单 击 “ 登 录 ” 按 钮 就 可 以 进入 管理 页 面 。 

(2) 添加 第 一 个 数据 中 心 。 首 次 登录 管理 中 心 会 直接 进入 添加 数据 中 心 界面 ,如 
图 3-14-6 所 示 。 

逐 项 填 人 数据 中 心 的 名 称 为 “信息 安全 实验 室 数 据 中 心 ”、 所 在 主机 IP 地 址 为 192. 
168.0. 222 及 数据 中 心 与 管理 中 心 通信 的 共享 密 钥 ,默认 的 共享 密 钥 是 “TOPSEC_2005?” 
(大 小 写 敏感 )。 单 击 “ 确 定 ” 按 钮 完成 第 一 个 数据 中 心 添加 ,添加 成 功 将 有 对 话 框 提示 。 
单 击 “ 确 定 ” 按 钮 ,系统 直接 显示 系统 资源 ,包括 刚刚 添加 的 数据 中 心 和 从 数据 中 心 上 传 的 
审计 引擎 信息 ,如 图 3-14-7 所 示 。 

如 果 管 理 中 心 和 多 个 数据 中 心 进行 通信 , 则 还 需要 继续 添加 另外 的 数据 中 心 。 
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实践 教程 》 


初始 化 系统 -添加 数据 中 心 


panot | | RENTE 28 位 的 非 空 字符 
) 

数据 中 心 IP G& SOS AAA BBB.CCC.DDD) 

Eri 


[gea] 


3-14-6 ”添加 数据 中 心 


数据 中 心 资源 

数据 中 

192.168.0.22 
2 


10% 92% 109 正常 连接 


Wits at 


Prove [ce [ee [as [vases [somes eees 


192188025 75% mne 报警 测试 流量 监控 ES 


3-14-7 ”系统 资源 


8. 审计 策略 配置 


超级 管理 员 可 以 在 管理 中 心 为 系统 配置 数据 采集 策略 ,报警 响应 策略 和 流量 监控 策 
略 , 并 将 已 定义 的 策略 通过 数据 中 心 下 发 到 指定 的 审计 引擎 ,审计 引擎 采集 数据 并 根据 采 
集 策 略 对 数据 包 进 行 过滤 ,还 可 根据 报警 响应 策略 做 出 实时 的 报警 响应 ,同时 发 送 报警 日 
志 到 数据 中 心 。 

CD 选择 “审计 策略 ”一 "采集 策略 ”一 “策略 分 发 ”, 单 击 * 查 看 "按钮 ,就 可 以 看 到 已 经 
下 发 的 默认 监控 策略 ,如 图 3-14-8 所 示 。 


第 品名 :最 大 监控 第 路 
ELE 
HTTP BYE — 80 00:00:00-23:59:59 0.0.0.0:255.255.255.255 
FTP ES n 00:00:00-23:59:59 0.0.0.0:255.255.255.256 
SMTP MES 25 00:00:00-23:59:59 0.0.0.0:255.255.255.255 
POP3 监控 110 00:00:00-23:59:59 0.0.0.0:255.255.255.255 
TENE ke 23 00:00:00-23:59:59 0.0.0.0:255.255.255.255 
MSN Hif 1863,80 00:00:00-23:59:59 0.0.0.0:255.255.255.255 
WEEMA gum go 00:00:00-23:59:59 0.0.0.0:255.255.255.255 
aa di A 00:00:00-23:59:59 0.0.0.0:255.255.255.255 
MMS 监控 1755 00:00:00-23:59:59 0.0.0.0:255.255.255.255 
RTSP 监控 554 00:00:00-23:59:59 0.0.0.0:255.255.255.255 


图 3-14-8 已 经 分 发 的 监控 策略 


(2) 选择 “审计 策略 >“ 采集 策 略 ”>“ 策 略 分 发 ”, 单 击 “ 下 发 策略 ”按钮 ,选择 审计 引 
擎 为 *192. 168. 0. 254” 和 下 发 策略 名 “最 大 还 原 策略 ”, 单 击 “ 确 定 ” 按 钮 ,就 可 以 将 指定 的 
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策略 下 发 到 审计 引擎 ,如 图 3-14-9 所 示 。 


下 发 策略 
将 已 定 又 的 生路 下 发 到 指定 审计 引擎 


选择 审计 引擎 192. 168. 0. 254 zl 
下 发 策略 名 最 大 还 原 策略 zl 


x | Lu | 
图 3-14-9 下 发 策略 到 审计 引擎 192. 168. 0. 254 


G) 选择 “审计 策略 >“ 关键 字 策略 ”一 “关键 字 管 理 ”, 单 击 “ 添 加 关键 字 ” 按 钮 ,在 出 
现 的 “添加 关键 字 ” 页 面 进行 设置 ,对 出 现 的 关键 字 进 行 审计 。 添 加 完成 后 单 击 “ 确 定 ” 按 
钮 完成 关键 字 的 添加 ,如 图 3-14-10 所 示 。 


添加 关键 字 
关键 字 类 别 [test # 
添加 关键 字 fi E: 
回 车 可 以 添加 多 个 关键 字 , 但 
每 个 关键 字 不 能 超过 25 个 字符 ] 
B 


Be — ges 


3-14-10 ”设置 关键 字 审计 


(D Efe" dr p Enn" E RESI" o" 关键 字 分 发 ”, 单 击 " 下 发 关键 字 ? 按 钮 ,在 新 
开 页 面 选择 数据 中 心 和 关键 字 , 单 击 “确定 ”按钮 .完成 下 发 ,如 图 3-14-11 Bros o 


图 3-14-11 选择 关键 字 和 数据 中 心 并 下 发 关键 字 


(5) 选择 “审计 策略 >“ 报警 响应 策略 >“ 报警 策 略 ”, 单 击 “ 添 加 报警 策略 ”按钮 ,在 
新 开 页 面 添加 内 容 , 对 访问 指定 服务 器 的 端口 访问 进行 报警 ,如 图 3-14-12 所 示 。 单 击 
“确定 ”按钮 ,完成 添加 。 

(6) 选择 “审计 策略 ”>“ 报 警 响应 策略 ”>“ 策 略 分 发 ”, 单 击 “ 下 发 策略 ”按钮 ,在 新 开 
页 面 选择 目的 引擎 和 策略 名 , 单 击 “ 确 定 ” 按 钮 ,完成 策略 分 发 ,如 图 3-14-13 Bron. 

CD 选择 “审计 策略 ”一 “流量 监控 策略 ”策略 管理 ”, 单 击 * 添 加 策略 "按钮 ,在 新 开 
页 面 进行 填写 ,并 单 击 “确定 ?按钮 完成 该 策略 的 添加 :如 图 3-14-14 所 示 。 
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添加 报警 策略 
策略 名 | 访问 80 端 口 报警 
报警 协议 TCP 了 
p iip 
€ 已 定义 |P any 了 | 
C 自 定义 IP 
起 娩 IP * SRP 
y BübiP 
目的 IP [222. 196. 35. 2 * — Bíwanr [so š 
三 啊 应 方式 
响应 方式 万 阻 断 三 联动 三 邮件 
Ls ] Lew] 
3-14-12 ”报警 策略 设置 
下 发 策略 


下 发 已 定义 的 报警 策略 到 引擎 ， 下 发 病 申 前 请 确认 响应 方式 在 引擎 中 已 经 配置 完毕 。 


目的 引擎 192. 168. 0. 254 z] 
第 略 名 SARE z] 


采样 时 间 308 可 


监控 |P 段 定义 
cx pr —— 
C Bex 
are [ 3 结束 IP [ 


al Js) | 
图 3-14-14 ”添加 对 整个 网 络 的 流量 监控 策略 


(8) 选择 “审计 策略 ”> “流量 监 控 策略 ”>“ 策 略 分 发 ”, 单 击 “ 下 发 策略 ”按钮 ,在 新 开 
页 面 选择 引擎 和 策略 名 称 , 单 击 “ 确 定 ” 按 钮 ,完成 策略 下 发 ,如 图 3-14-15 所 示 。 

(9) 选择 “系统 管理 ”>“ 其 他 设置 ">“ 引 擎 配置 保存 "页面 , 单 击 “ 确 定 ” 按 钮 ,将 审计 
策略 保存 到 审计 引擎 ,如 图 3-14-16 所 示 。 


| 下 发 策略 
ASME SIE 
引擎 192. 168. 0. 254 a 引擎 配置 保存 
RES | 流量 监控 H TIS HOBRONEE.SRGIUE BGIIGUSN. SUL SRR CEE. 
确定 Ime | 配置 保存 引擎 192.168.0.254 E] 
图 3-14-15 下 发 策略 图 3-14-16 引擎 配置 保存 
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(10) 选择 “实时 监控 ”>“ 应 用 监控 ”, 选 择 数 据 中 心 和 应 用 协议 ,以 及 刷新 频率 和 显 
示 条 数 , 单 击 “ 开 始 监 控 ” 按 钮 ,就 可 以 监控 到 相应 应 用 协议 的 情况 ,如 图 3-14-17 和 
图 3-14-18 所 示 。 


THER 
数据 中 心 。 [信息 安全 实验 室 数据 二 回 ] same [55 z] ems | 
应 用 协议 [HTTP sre [s z] Ee 


3-14-17 ”应 用 监控 设置 


| r 
1 2007-09-2017:42:34 192,168,0.221 2949 202.115.160.9 80  gethttpinews.swustedu.cn/userfiles/l 
2 HTTP 2007-09-20 17:42:34 192168.0.221 2948 202.115.160.9 80 gethttpJ/news.swust edu.cn/newiil.asp. 
3 HTTP 2007-09-20 17:42:34  192.168.0.221 2947 202.115.160.9 80  gethttpjinews.swust.edu.cniphoto.asp 
4 HTTP 2007-09-20 17:42:34 192.168.0.221 2946 202.115.160.7 80 gethttpwww.swust.edu.cn/images/index 
5 HTTP 2007-09-20 17:42:34 192.168.0.221 2945 202.115.160.7 80 gethttp.JIwww.swust.edu.cn/images/index 
6 HTTP 2007-09-20 17:42:34 192.168.0.221 2944 202.115.160.7 80 get;httpwww.swust.edu.cnimages/t gif 
7 HTTP 2007-09-20 17:42:34  192.168.0.221 2943 202.115.160.7 80 ^ gethttp/iwww.swust.edu.cn/images/Index. 
8 HTTP 2007-09-20 17:42:34 192,168.0.221 2942 202115.160.7 80 gethttp.//www.swust.edu.cn/images/space 
9 HTTP 2007-09-20 17:42:34  192.168.0.221 2941 202.115.160.7 80 ^ gethttp/iwww.swust.edu.cn/images/index 
10 HTTP 2007-09-20 17:42:34 192.168.0.221 2940 2021151607 80  gethttpiiwww.swustedu.cn/images/index 
11 HTTP 2007-09-20 17:42:34  192.168.0.221 2939 202.115.160.7 80  gethttp/iwww.swust.edu.cn/css/sssccc.C 
12 HTTP 2007-09-20 17:42:33 192.168.0.221 2938 202.115.160.7 80 get;http.J/www.swust edu.cn/ 


图 3-14-18 HTTP 应 用 协议 监控 情况 


(OD 选择 “实时 监控 ”一 “流量 监控 设置 ”, 在 新 开 页 面 进行 设置 , 单 击 “ 开 始 监控 ” 按 
钮 ,就 可 以 监控 到 各 个 IP 地 址 主机 的 流量 信息 ,如 图 3-14-19 所 示 。 


€ 已 定义 IP any 
€ 自 定 XIP 


br[ | 


3-14-19 流量 监控 设置 


(12) 选择 “实时 监控 ”报警 监控 ”, 单 击 *“ 开 始 监控 "按钮 ,然后 打开 浏览 器 ,访问 
222.196. 35. 2 ,就 可 以 看 到 相应 的 报警 信息 ,如 图 3-14-20 所 示 。 


SEI Zio 
a ene deaf mee ER eae | 
1 2007-09-20 18:14:18 — 192168.0.254 1 192.168.0.221 3130 222.196.35.2 
2 2007-09-20 18:14:18 — 192.168.0254 1 192.168.0.221 3131 222196352 
3 2007-09-20 18:14:18  192168.0.254 1 192.168.0.221 3129 222196352 
4 2007-09-20 18:14:18  192.168.0.254 1 192.168.0.221 3128 222196.35.2 


图 3-14-20 ”报警 响应 记录 
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(13) 选择 “安全 审计 ”>“ 行 为 审计 ”一 “行为 审计 ”, 选 择 开 始 时 间 .结束 时 间 等 , 单 击 
“审计 ”按钮 ,就 可 以 查看 相应 的 审计 结果 ,如 图 3-14-21 所 示 。 

审计 结果 区 ] E ] ERR 
a WT RNC LL INCUN 


2007-09-20 18:21:33 1921680221 2021151607 80 gethttpJwww swustedu cny 
2  2007-09-2018:21:33 1921680221 2021151609 80 get/http.//news.swust edu cn/photo asp 
3  2007.09-201821:33 1921680221 2021151609 80 gethttp;inews.swust edu.cn/newiii.asp 


2007-09-2018:21:08 1921680.2201 — 7224720270 3282 80 stats 


2007-09-20 18:20:53 192.168.0.221 — 222196352 3303 80 


4 

5 gethttp:flwww.cs.swust edu.cn/ 
6 2007-09-20 18:18:54 192.168.0221 20211516034 3270 80 

7 

8 

9 


gethttp;imall.swustedu.cn/cgi-binllistmail?f. 
posthttpmail swust edu.cnícgi-binemail 

gethttpJ/202.115.150.14/userviewmalllusermall.. 
getihtto:/202.115.160.14/userviewmail/useracti 


2007-09-20 18:18:53 1921680.221 20211516034 3269 80 
2007-09-20 18:18:48 192.168.0.221 20211516014 3229 80 
2007-09-20 18:18:48 


192168.0.221 — 202115160.14 


3838331385 


3-14-21 内 容 回放 审计 结果 


(14) 选择 “安全 审计 ”>“ 内 容 审 计 ” 一 “内 容 回 放 ”, 选 择 开始 时 间 ,结束 时 间 等 , 单 击 
“审计 ?按钮 ,就 可 以 查看 相应 的 审计 结果 。 单 击 相应 的 “内 容 摘要 ”, 可 以 看 到 相关 内 容 ， 
如 图 3-14-22 所 示 。 


绵阳 市 副 市 长 黄 正 良 来 我 校 检查 食品 安全 工作 


和 paT: 师 和 px 


本 和 教学 工作 省 级 评估 
EUREN 


本 利 教学 工作 水 平 预 评估 专家 组 召开 会 议 
预 评估 专 FFY Hig 


到 
zm ——— T T T T M, 4 


3-14-22 显示 内 容 回 放 的 详细 信息 


(15) 选择 “安全 审计 ”内 容 审计 ”一 “关键 字 审 计 ”, 选 择 相 应 的 内 容 , 单 击 * 审 计 ” 
按钮 ,就 可 以 看 到 相应 的 内 容 审 计 结果 。 单 击 * 内 容 摘要 ”, 可 以 看 到 相应 的 内 容 , 如 
图 3-14-23 所 示 o 


审计 结果 第 一 页 | TEN | rT 
EELLNEM EN UN NCC LIINC RN 


1  2007-09-2018:30:36 192168.0221 — 2185472120 3349 gethttp:flwww.biaoshu.com/ 

2 2007-09-20 18:20:53 1921680221 222196352 3303 80 HTTP — gethttpJIwww.cs.swustedu.cnf 

3  2007.09-201818:53 1921680.220 20211516034 3269 80 HTTP — posthttp;imail.ewust edu.cn/cgi-bin/ernail 
4  2007-09-2018.17:05 192.168.0221 222196352 3158 80 HTTP — gethttp.J/222.196.35.2/ 

5  2007.09-201814:34 1921680221 222196352 3128 80 HTTP — gethttp/222.196.35.2/ 

6 2007-09-2018:1402 192.168.0.221 222196352 3117 80 HTTP — gethttp/(222.196.35 2/ 

7 2007-09-2018:06:16 1921680221 — 222196352 3071 80 HTTP — gethtip./222.196.35.2/ 


3-14-23 ”关键 字 审 计 结 果 
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3.14.8 实验 思 


COD 审计 引擎 能 不 能 工作 于 交换 式 的 网 络 环境 下 ? 如 果 能 的 话 , 需 要 什么 条 件 ? 
(2) 你 认为 TA-W 审计 系统 在 功能 上 可 以 有 哪些 方面 的 改进 ? 


3.15 应急 响应 与 灾难 恢复 
3.15.1 实验 类 型 

设计 型 ,4 学 时 ,课外 自选 实验 。 
3.15.2 实验 目的 

很 多 弱点 可 以 在 风险 管理 控制 过 程 中 通过 技术 ,管理 或 操作 的 方法 消除 ,但 理论 上 不 
可 能 消除 所 有 的 风险 。 应 急 响应 与 灾难 恢复 是 风险 管理 的 补充 ,其 目的 是 从 风险 中 恢复 
过 来 。 通 过 实验 ,使 学 生 认 识 应 急 响 应 与 灾难 恢复 的 作用 ,了 解 应 急 响应 与 灾难 恢复 的 步 
又 和 内 容 。 
3.15.3 题目 描述 

根据 案例 制订 数据 库 系统 容 灾 方 案 。 


3.15.4 实验 要 求 


理解 应 急 响应 与 容 灾 备 份 的 重要 性 ,理解 应 急 响 应 的 处 理 步骤 和 容 灾 备 份 需求 的 衡 
量 指 标 、 各 种 容 灾 方法 及 其 特点 ,能 够 制订 系统 容 灾 方案 。 


3.15.5 相关 知识 


进入 21 世纪 ,网 络 技术 的 高 速 发 展 使 物理 世界 中 涉及 政治 军事、 经 济 、 文 化 ,外交 、 
安全 关系 和 利益 的 全 球 化 、 多 级 化 的 复杂 的 世界 格局 已 经 全 面 映射 到 开放 的 互联 网 体系 
中 ,由 此 形成 了 一 个 社会 .技术 一 体 化 的 复杂 巨 系 统 。 面 对 国际 互联 网 大 环境 ,我 们 深刻 
认识 到 ,完全 杜绝 互联 网 安全 事件 是 不 可 能 的 ,重要 的 是 加 强 应 急 响 应 。 


1. 应 急 响 应 定义 


应 急 响应 (Emergency Response/Incident Response) 38i 7$ J& 48 KAA R TE 388 $1] 2€ E 
事件 后 所 采取 的 措施 和 行动 。 突 发 事件 是 指 影响 一 个 系统 正常 工作 的 情况 ,这 里 的 系统 
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包括 主机 范畴 内 的 问题 ,也 包括 网 络 范畴 内 的 问题 ,这 种 “情况 ”包括 常见 的 黑客 入 侵 , 信 
息 窃 取 等 ,也 包括 拒绝 服务 攻击 、 网 络 流量 异常 等 。 


2. 应 急 响应 的 必要 性 


我 们 从 以 下 几 个 方面 讨论 应 急 响 应 的 必要 性 。 

(1) 安全 事件 影响 严重 。 公 共 互 联网 正在 面临 严峻 的 安全 挑战 。 从 2000 年 以 来 , 严 
重 的 互联 网 安全 事件 层出不穷 ,在 世界 范围 内 造成 了 严重 的 损失 。 尤 其 是 2003 年 ,发 生 
了 多 起 波及 全 球 的 大 规模 安全 事件 , 仅 网 络 蠕虫 就 造成 了 全 球 范围 的 重大 网 络 安 全 危害 。 
在 中 国 ,“ 杀 手 蠕 虫 "使 全 部 骨干 网 络 受 到 严重 影响 ,部 分 骨干 网 国际 出 入 口 基本 瘫痪 ;“ 口 
令 蠕虫 "蔓延 到 大 部 分 骨干 网 络 中 ,累计 超过 4 万 余 台 计算 机 受 感染 ;“ 冲 击 波及 冲击 波 清 
除 者 蠕虫 "使 受 感染 的 主机 累计 超过 200 万 台 。 可 以 预见 ,这 种 大 规模 网 络 安全 事件 将 会 
继续 给 人 类 带 来 更 加 严重 的 威胁 。 

(2) 安全 漏洞 普遍 、 攻 击 和 恶意 代码 流行 。 一 方面 ,计算 机 网 络 和 系统 变 得 越 来 越 复 
杂 , 计 算 机 软件 (包括 操作 系统 和 应 用 软件 ) 的 安全 缺陷 往往 与 软件 的 规模 和 复杂 性 成 正 
比 ; 另 一 方面 ,互联 网 中 有 大 量 用 来 危害 网 络 的 工具 ,这 使 得 网 络 攻 击 变 得 越 来 越 容易 。 
应 急 响 应 有 助 于 降低 这 些 漏 洞 一 旦 被 攻破 所 带 来 的 影响 。 

(3) 网 络 和 系统 管理 复杂 。 从 管理 的 层次 上 讲 , 每 一 个 组 织 都 应 该 通过 风险 分 析 制 
订 出 完备 的 安全 政策 ,然后 根据 安全 政策 制订 防御 措施 和 检测 措施 。 但 目前 很 少 有 组 织 
能 够 做 到 这 一 点 ,而 且 随 着 业务 的 发 展 和 变化 ,安全 政策 的 更 新 也 可 能 不 及 时 。 应 急 响应 
在 一 定 程度 上 弥补 了 维护 和 安全 政策 的 不 足 , 并 且 应 急 响 应 也 可 以 及 时 发 现 这 些 不 足 ,从 
而 增强 维护 工作 ,完善 安全 政策 。 


3. 应 急事 件 处 理 的 一 般 阶段 


应 急事 件 处 理 的 一 般 阶段 包括 准备 、 确 认 、 封 锁 、 根 除 .恢复 .跟踪 6 个 阶段 。 第 1 阶 
段 “ 准 备 ”, 以 预防 为 主 ;第 2 阶段 “确认 ”, 确 定 事件 性 质 和 处 理 人 ;第 3 阶段 “封锁 ”, 即 时 
采取 的 行动 ;第 4 阶段 “根除 ”, 长 期 的 补救 措施 ;第 5 阶段 恢复”, 由 备份 恢复 系统 ;第 6 
阶段 “跟踪 ”, 关 注 系统 恢复 以 后 的 安全 状况 。 


4. 国外 应 急 响应 组 织 发 展 状况 


1988 年 在 美国 发 生 “ 莫 里 斯 蠕虫 事件 ”后 ,美国 国防 部 高 级 计划 研究 署 (DARPA) 紧 
急 在 卡 内 基 梅 隆 大 学 (CMU) 软 件 工程 研究 所 成 立 了 世界 上 第 一 个 计算 机 紧急 事件 响应 
4H CCERT/CO) ,用 于 收集 处 理 与 计算 机 安全 有 关 的 信息 。CERTVCC 成 立 后 ,世界 各 地 
纷纷 成 立 了 应 急 响 应 组 织 , 如 美国 空军 的 AFCERT、 澳 大 利 亚 的 AusCERT 等 。 

为 了 各 响应 组 之 间 的 信息 交换 与 协调 ,1990 年 成 立 了 第 一 个 应 急 响 应 与 安全 组 论坛 
(Forum of Incident Response and Security Teams. FIRST) ,其 宗旨 是 使 各 成 员 能 就 安全 
漏洞 技术、 管理 等 方面 进行 交流 与 合作 ,以 实现 国际 间 的 信息 共享 和 技术 共享 ,最 终 达 到 
联合 防范 计算 机 网 络 上 的 攻击 行为 。 

2003 年 亚太 地 区 成 立 了 APCERT (Asia-Pacific Computer Emergency Response 
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Team) , APCERT 的 任务 主要 是 促进 亚太 地 区 的 国际 间 合 作 ,发 展 安全 事件 的 评估 标准 ， 
推动 信息 与 技术 的 交换 共享 ,进行 合作 研究 等 。 


5. 国内 应 急 响应 组 织 及 应 急 体 系 建设 情况 


在 中 国 ,1999 年 在 清华 大 学 成 立 了 中 国教 育 和 科研 网 应 急 响 应 组 (CCERT) ,是 中 国 大 
陆 第 一 个 计算 机 安全 应 急 响 应 组 。2000 年 10 月 ,信息 产业 部 组 建 了 “计算 机 网 络 应 急 处 理 
协调 中 心 ”,2001 年 8 H ,组建 “国家 计算 机 网 络 应 急 处 理 协调 中 心 ”,2003 4E 7 月 更 名 为 “ 国 
家 计算 机 网 络 应 急 技术 处 理 协 调 中 心 ”(National Computer network Emergency Response 
technical Team /Coordination Center of China, CNCERT/CC)。CNCERT/CC 的 具体 业务 范 
围 是 ,收集 ,核实 .汇总 和 发 布 有 关 网 络 安全 的 权威 性 信息 ,为 国家 关键 部 门 提供 应 急 处 理 服 
务 , 协 调和 指导 国内 其 他 应 急 处 理 单位 的 工作 ,与 国际 上 的 应 急 处 理 组 织 进行 合作 和 交流 。 

2002 年 8 H. CNCERT/CC 代表 中 国 成 为 FIRST 的 正式 会 员 , 2003 年 3 月 
CNCERT/CC 入 选 为 APCERT 指导 委员 会 的 成 员 单位 。 目 前 CNCERT/CC 已 经 与 国 
际 应 急 响 应 组 织 建 立 了 广泛 的 技术 交流 和 合作 关系 ,并 在 国际 交流 中 ,在 职责 组织 结构 
和 技术 水 平 上 不 断 进行 完善 。 


6. 灾难 备份 需求 的 衡量 指标 


灾 备 方案 应 是 风险 和 成 本 的 相应 平衡 。 

实施 灾难 备份 项 目的 第 一 步 应 该 从 “分 析 评 估 以 确定 灾难 备份 需求 目标 ”开始 。 

(1) RTO(Recovery Time Objective): 是 指 灾难 发 生 后 ,从 I/T 系统 当 机 导 致 业务 停顿 之 
刻 开始 ,到 YT 系统 恢复 至 可 以 支持 各 部 门 运作 ,业务 恢复 运营 之 时 ,此 两 点 之 间 的 时 间 段 。 

一 般 而 言 ,RTO 时 间 越 短 , 即 意味 着 要 求 在 更 短 的 时 间 内 恢复 至 可 使 用 状态 。 虽 然 
从 管理 的 角度 而 言 ,RTO 时 间 越 短 越 好 ,但 是 这 同时 也 意味 着 更 多 成 本 的 投入 , 即 可 能 需 
要 购买 更 快 的 存储 设备 或 高 可 用 性 软件 。 

对 于 不 同行 业 的 企业 来 说 ,其 RTO 目标 一 般 是 不 相同 的 。 即 使 是 在 同一 行业 ,各 企 
业 因 业务 发 展 规模 的 不 同 , 其 RTO 目标 也 会 不 尽 相同 。 

(2) RPO(Recovery Point Objective); 是 指 从 系统 和 应 用 数据 而 言 ,要 实现 能 够 恢复 
至 可 以 支持 各 部 门 业务 运作 ,系统 及 生产 数据 应 恢复 到 怎样 的 更 新 程度 。 这 种 更 新 程度 
可 以 是 上 一 周 的 备份 数据 ,也 可 以 是 上 一 次 交易 的 实时 数据 。 


7. 重要 系统 灾难 备份 主要 的 实现 方法 


在 目前 的 技术 条 件 下 ,重要 系统 灾难 备份 主要 的 实现 方法 主要 有 以 下 几 种 : 

(1) 基于 应 用 本 身 的 容 灾 一 一 应 用 直接 指向 两 个 同时 运作 的 数据 中 心 ,在 任意 一 个 
中 心 活动 情况 下 继续 工作 。 

(2) 基于 文件 /数据 库 日 志 的 容 灾 一 一 通过 复制 数据 库 日 志和 数据 文件 方式 ,从 生产 
中 心 向 海量 存储 系统 进行 数据 容 灾 。 

(3) 基于 复制 磁盘 的 容 灾 一 一 通过 复制 磁盘 1/O 的 方式 ,从 生产 中 心 向 海量 存储 系 
统 进行 数据 容 灾 , 根 据 复制 设备 的 不 同 ,又 可 以 分 为 基于 主机 、 基 于 磁盘 阵列 、 基 于 智能 
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SAN 虚拟 存储 设备 。 


8. 软件 容 灾 方法 
软件 容 灾 指 对 灾难 发 生 ( 即 生产 系统 出 乎 预料 地 失效 ) 时 的 实时 、 自 动 地 响应 ,能 在 元 


余 设备 上 快速 将 应 用 系统 重新 启动 而 只 损失 极 少 的 数据 。 软 件 容 灾 是 建立 在 高 可 用 的 基 
础 上 的 , 即 如 同 在 本 地 的 硬件 或 软件 失败 时 的 响应 一 样 。 


CD 容 灾 设 计 的 软件 需求 。 容 灾 软 件 能 自动 预知 错误 ,具体 的 操作 往往 需要 广泛 的 


专业 知识 。 容 灾 软 件 应 该 能 对 容 灾 架构 经 常 进行 低 成 本 的 、 非 破坏 性 的 测试 。 容 灾 软 件 
应 能 充分 利用 现 有 IT 架构 。 


(2) 容 灾 设计 的 业务 需求 。 容 灾 软 件 必须 作为 DR 计划 的 一 部 分 ,能 自动 执行 必要 


的 步骤 。 必 须 预 先 定义 目标 恢复 时 间 (RTO) 和 目标 恢复 点 (RPO)。 


G) 容 灾 设计 的 物理 需求 。 远 程 建立 能 随时 启动 的 、 元 余 的 主机 、 存 储 及 网 络 结构 。 


选择 远程 灾 备 中 心 时 , 它 与 生产 中 心 的 距离 要 合理 。 
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9. 软件 在 容 灾 中 的 责任 


(1) 应 用 系统 管理 : 启动 ,关闭 ,监控 ,故障 切换 。 

(2) 故障 通知 : 确定 应 用 的 停止 及 如 何 响应 。 

G) 数据 迁移 : 在 灾 备 中 心 随时 提供 最 新 的 有 效 数据 ,而 无 须 从 磁带 上 恢复 。 
CD 子 网 故障 切换 : 能 够 将 客户 端 从 生产 中 心 重 定向 到 灾 备 中 心 。 


10. 主要 的 容 灾 技术 


(1) 基于 存储 的 解决 方案 (也 可 以 称 为 运行 在 磁盘 阵列 上 的 方案 ) 。 

基于 存储 的 解决 方案 主要 包括 以 下 内 容 。 

m EMC: SRDF; 

mIBM: PPRC, XRC; 

m HDS: HXRC; 

W HP: Continuous Access, 

这 种 方案 的 主要 优点 在 于 : 

加 这 种 数据 复制 方式 和 服务 器 平台 无 关 。 

这 种 方案 的 主要 缺点 在 于 : 

加 不 同 节点 间 必 须 采 用 同一 个 厂家 的 磁盘 阵列 (一 般 是 高 端 阵列 ) 才 可 以 完成 数据 的 
复制 ,因此 ,所 复制 的 数据 具有 局 限 性 ; 

一带 宽 需 求 较 高 , 带 来 长 期 的 .巨大 的 附加 费用 ; 

m (rens 

重读 取 磁 盘 中 的 数据 加 以 远程 传递 ,因此 容易 造成 缓存 中 的 数据 丢失 。 

(2) 基于 主机 的 解决 方案 (也 可 以 称 为 运行 在 服务 器 上 的 解决 方案 ) 。 

基于 主机 的 解决 方案 主要 包括 Veritas VVR 产品 。 

这 种 方案 的 主要 优点 在 于 : 


Ww 这 种 数据 复制 方式 和 服务 器 平台 以 及 存储 厂家 无 关 。 

这 种 方案 的 主要 缺点 在 于 : 

加 数据 复制 对 应 用 系统 的 影响 较 大 ; 

ms (fret: 

Wu BOR BE ; 

量 实 施 难 度 较 大 ; 

里 延迟 较 大 ; 

重读 取 磁 盘 中 的 数据 加 以 远程 传递 ,因此 容易 造成 缓存 中 的 数据 丢失 。 
(3) IN-Band 方式 的 解决 方案 。 

IN-Band 方式 的 解决 方案 主要 包括 以 下 内 容 。 

WDatacore: AIM; 

E FalconStor; IPStor; 

MHP: CASA, 

这 种 方案 的 主要 优点 在 于 : 

里 这 种 数据 复制 方式 和 服务 器 平台 以 及 存储 厂家 无 关 。 

这 种 方案 的 主要 缺点 在 于 : 

量 难于 扩展 ; 

加 延迟 增加 ; 

里 高 带宽 要 求 ; 

重读 取 磁 盘 中 的 数据 加 以 远程 传递 ,因此 容易 造成 缓存 中 的 数据 丢失 。 


11. 实例 简介 


VERITAS 的 数据 复制 管理 软件 VERITAS Volume Replicator 赛 门 铁 克 推出 
Veritas Storage Foundation 5.0 HA for Windows FalconStor 公司 IPStor 存储 管理 软件 
为 存储 架构 的 容 灾 系统 。 

TrueCopy 数据 远程 容 灾 解决 方案 是 结合 HDS Freedom 智能 存储 系统 的 特点 推出 的 数 
据 远 程 容 灾 解决 方案 。TrueCopy 是 基于 磁盘 存储 系统 运行 的 软件 包 , 不 依赖 任何 主机 操作 
系统 和 其 他 第 三 方 厂商 软件 ,为 用 户 提供 了 安全 开放 、 经 济 和 实用 的 远程 容 灾 解 决 方案 。 

基于 智能 SAN 虚拟 存储 设备 进行 磁盘 复制 的 一 个 成 熟 的 方案 就 是 IBM 的 SAN d 
控制 器 (SAN Volume Controller, SVC). 


3.15.6 实验 设备 
主流 配置 PC, Windows 操作 系统 ,网 络 环境 。 
3.15.7 实验 步骤 


以 下 是 某 广电 公司 数字 电视 存储 系统 容 灾 备份 方案 。 
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XX 广 电 近期 在 原 有 双 机 系统 的 前 提 下 ,提出 对 数据 库 系统 进行 远 端 灾难 恢复 ,以 保 
证 系统 更 加 强劲 地 运行 。X X 广 电 数 据 库 应 用 系统 采用 两 台 宝 德 PT2350R 服务 器 加 一 
台 宝 德 GS4008 存储 柜 , 两 台数 据 库 服务 器 采用 Windows 2000 Server 十 Oracle 8i 的 数据 
库 软 件 , 组 成 双 机 系统 。 目 前 的 数据 库 平台 通过 双 机 系统 ,已 具备 较 高 的 可 靠 性 ,为 了 保 
证 系统 的 无 忧 运行 ,需要 进一步 对 基于 Oracle 数据 库 的 双 机 系统 进行 灾 备 。 


l. 系统 需求 分 析 


XX 广电 对 数据 系统 灾 备 提出 了 高 标准 的 要 求 , 一 是 在 不 改变 原 有 双 机 系统 的 前 提 下 
组 建新 的 灾 备 系统 ;二 是 机 房 系统 数据 存储 池 同 灾 备 系统 的 存储 保证 时 时 备份 (网 络 带宽 有 
要 求 ) 或 按时 间 点 进行 备份 ;三 是 在 生产 端 出 现 整体 故障 的 情况 下 ,启动 灾 备 端 应 用 及 存储 
系统 ,在 远 端 提供 正常 的 数据 库 服 务 ; 四 是 整体 设计 思路 要 先进 ,能 够 适应 未 来 的 发 展 需要 。 
根据 XX 广电 目前 系统 环境 及 未 来 发 展 需 求 ,最 终 系统 选 定 宝 德 存储 容 灾 与 管理 软件 
和 宝 德 服务 器 共同 部 署 X Xx 广 电 的 整体 灾 备 环境 ,建立 起 针对 性 极 强 的 灾 备 系统 解决 方案 。 


2. REAR 


本 案例 在 生产 端 两 台数 据 库 服务 器 宝 德 PR2350 上 安装 磁盘 数据 快照 抓 取 软 件 宝 德 
Disk Safe 及 Snapshot for Oracle agent, 作 为 整个 系统 灾 备 数据 的 发 起 端 ;在 灾 备 端 使 用 
一 台 宝 德 服务 器 PT6215 ,安装 Oracle 数据 库 , 提 供与 生产 端 数据 库 服 务 器 同样 的 服务 ; 
在 GS9016i 上 安装 BizCON iSCSI Server 及 Snapshot Module 两 个 软件 ;将 灾 备 端 一 台 服 
务 器 及 一 台 GS9016i 通过 交换 机 连 入 同一 局 域 网 , 据 此 架构 起 XX 广电 的 整个 灾 备 系统 。 
灾难 未 发 生 , 生 产 端 系统 正常 工作 , 灾 备 端 进行 常规 备份 。 一 旦 灾难 发 生 , 生 产 端 系 统 宕 
机 , 灾 备 端 就 立即 提供 服务 。 

系统 拓扑 图 如 图 3-15-1 ras. 


光纤 灾 备 数据 传输 链 路 


路 由 器 
千 兆 以 太 网 交换 机 


FAK 
网 交换 机 


在 两 台 Oracle 数 据 库 服务 器 上 


各 装 一 套 Disk Safe/Snapahot 可 做 网 卡 绑 定 二 | 
for Oracle agent 


提高 传输 速率 ; 


宝 德 PT6215 服 务 器 
Oracle 数 据 库 服务 器 
宝 德 GS9016i BizCON 
ISCSI Server SnapShot 
Module 


宝 德 PR2350R 服 务 器 宝 德 PR2350R 服 务 器 


GS4008 存 储 阵列 柜 
图 3-15-1 容 灾 备 份 方 案 拓 扑 


3. 灾 备 系统 实施 
灾 备 系统 中 ,管理 是 关键 。 在 XX 广电 灾 备 系统 存储 管理 的 控制 台中 , 宝 德 为 其 制订 


158 


了 完备 的 灾 备 系统 复制 策略 ,管理 员 很 方便 地 为 将 要 复制 的 源 盘 定 制 相应 的 复制 策略 来 
控制 复制 进程 ,例如 一 天 中 的 特定 时 间 ,持续 时 间 间 隔 、 容 量 的 变化 量 .连续 复制 。 这 几 种 
策略 可 以 单独 使 用 或 组 合 使 用 ,使 得 为 管理 员 提 供 了 一 个 非常 灵活 的 策略 触发 机 制 , 实 现 
数据 的 保护 而 不 受灾 难 的 影响 。 

当 在 本 地 的 磁盘 卷 被 复制 时 ,通过 宝 德 灾 备 系统 的 控制 台 在 远程 站 点 为 此 卷 建 立 相 
应 的 目标 卷 , 并 同时 在 本 地 的 宝 德 灾 备 系统 存储 管理 服务 器 及 远程 的 存储 管理 服务 器 之 
间 生 成 复制 通道 ,每 一 次 初始 化 的 同步 数据 处 理 过 程 在 正式 执行 定制 复制 之 前 进行 。 
XX 广电 灾 备 系统 事先 将 数据 复制 到 远 端 后 ,建立 起 两 端的 复制 关系 后 只 检查 两 端 数 据 
之 间 的 差 量 , 然 后 将 差 量 数据 从 本 地 的 宝 德 灾 备 系统 存储 管理 服务 器 所 管理 的 卷 复制 到 
和 远 端 存 储 管理 服务 器 管理 的 卷 中 , 待 数据 同步 后 ,开始 按照 事先 订 制 的 策略 触发 复制 
进程 。 

宝 德 灾 备 系统 的 复制 是 基于 磁盘 卷 进行 操作 的 ,按照 上 述 策 略 触发 复制 进程 ,在 本 地 
应 用 服务 器 对 于 写 的 动作 ,只 写 到 本 地 的 磁盘 卷 中 , 当 达 到 事先 设 定 的 触发 条 件 时 触发 数 
据 的 复制 ,每 次 复制 的 数据 都 通过 宝 德 灾 备 系统 的 Snapshot Module 功能 保护 起 来 ,因此 
数据 在 整个 复制 过 程 中 不 影响 应 用 系统 的 正常 业务 处 理 。 

同时 ,系统 通过 数据 库 代理 模块 对 Oracle 数据 库 提供 7X 24 小 时 的 在 线 数据 保护 ， 
即 不 间断 地 为 数据 处 理 提 供 自动 管理 保护 ,结合 宝 德 灾 备 系统 安全 可 靠 地 进行 数据 的 快 
照 复 制 . 零 干扰 备份 .远程 数据 复制 等 高 级 存储 服务 功能 。 总 体 来 看 ,本 存储 灾 备 系统 实 
现 了 基于 Java 的 异 构 存 储 设备 集中 管理 ,有 效 降 低 了 硬件 及 维护 管理 的 投资 成 本 ,实现 
了 可 靠 的 容 灾 系统 及 数据 多 重 保护 ,为 企业 存储 方案 选 型 提供 了 良好 的 启示 。 


3.15.8 实验 思考 


(1) 应 急 响应 的 一 般 步骤 是 怎样 的 ? 
O) 容 灾 方 案 的 制订 需 考 虑 哪些 因素 ? 
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